XSS атаки

XSS или межсайтинговый скриптинг — уязвимость интерактивной системы по причине попадания в генерируемые сервером страницы пользовательских скриптов. Особенность уязвимости заключается в использовании плохо защищённого сервера для атаки на пользователя.

В общем количестве интернет-атак XSS занимает долю более 15%. Целью такой атаки могут стать конфиденциальные данные, например, файлы cookies. При раскрутке сайта необходимо уделить особое внимание защите от данной угрозы.

По механизму исполнения различают активные, когда вредоносные скрипты выполняются при любой попытке открыть страницу, и пассивные, когда для срабатывания XSS требуется какое-либо действие пользователя.

Каналов внедрения существует несколько. Самый распространённый — HTML-теги. Отсутствие приемлемого уровня фильтрации постов может привести к внедрению тегов <script>, что открывает широкие возможности взломщику для получения конфиденциальной информации. Скрипт может быть внедрён в атрибут тега. Часто для XSS атаки используют изменение кодировки заголовка страницы.

XSS атаки могут существенно затруднить работу сайта, поэтому при продвижении проекта необходимо уделить должное внимание защите от такого рода атак.