أعتقد أن اسم "cross site " مربكة. فإنه من السهل أن نسمع أن وأعتقد أنه ينطوي على رمز موقع
واحد مهاجمة رمز على موقع آخر. هذا ليس ما هو عليه. ناهيك لها المؤسف اختصار "صحيح".
وهذا يعني ببساطة: تنفيذ abritrary شفرة جافا سكريبت على الصفحة.
هذا يمكن أن يكون JavaScript التي يتم إدراجها في URL أو من خلال استمارة الطلبات. إذا كان أي من هذه الطرق قبول المعلومات لا "تنظيف" المعلومات التي يتم الحصول قبل إخراج ذلك مرة أخرى في الصفحة، ثم يمكن تشغيل جافا سكريبت التعسفي على تلك الصفحة وهذا هو نقطة ضعف XSS.
إذا الجافا يمكن تشغيلها على الصفحة، ومن ثم يمكن الوصول إلى ملفات تعريف الارتباط.
إذا كان يمكن الوصول إلى ملفات تعريف الارتباط، ومن ثم يمكن الوصول جلسات العمل النشطة.
إذا كان يمكن الوصول إلى جلسات العمل النشطة، فإنه يمكن تسجيل الدخول إلى المواقع كما كنت قمت بتسجيل الدخول في ل، على الأقل لفترة كافية لتغيير كلمات المرور أو غيرها من الخراب.
وقالت سيمانتيك أن 80٪ من نقاط الضعف الانترنت ومن المقرر ان XSS.
XSS يختلف عن، لكنها متشابهة في روح لحقن SQL. وحيث لا يتم تنظيفها أوامر SQL حقن SQL من المدخلات وبالتالي قادرا على القيام باشياء الخبيثة إلى قاعدة بيانات. باستخدام HTTPS لا يمكن أن تساعد مع أي XSS أو حقن SQL. HTTPS يحمي فقط البيانات في العبور عبر الشبكات.
المشاركات
0 commentaires