O que é cross-site scripting?
Conteúdo
ataques XSS alterar sites confiáveis com código malicioso.
Video: Curso Hacker - Aula 011 - Explorando Falhas XSS
Cross-site scripting ou XSS, é um método de injeção de código malicioso e ligações em código de um site de outra forma segura. XSS é uma das técnicas de hacking mais comumente usados. Enquanto navegadores da Web têm built-in de segurança para evitar uma série de ataques XSS, os hackers ainda pode explorar os pontos fracos no programa para convencer o navegador que plantou código é confiável.
Video: [Segurança] Oque é Cross Site Forgery (CSRF)
Injetando código XSS
Hackers não precisa de acesso direto ao código de um site para colocar XSS attacks- em vez disso, eles normalmente explorar campos user-entrada em anexos de e-mail, comentários e quadros de avisos. ataques XSS explorar campos destinados aos usuários inserir texto em uma página da Web, incluindo código que carrega um script não autorizado na página que pode seqüestrar o navegador e roubar informações. Os navegadores da Web não permitir que scripts em um só site para afetar outra, de modo ataques XSS não funcionará através do carregamento de uma página Web dentro de outro com um iframe. No entanto, o conteúdo, como comentários e mensagens bulletin board existem no próprio site, então script chama no trabalho de campo. Sites com páginas codificadas individualmente, sem campos de entrada do usuário são de baixo risco para ataques XSS, mas as páginas dinâmicas geradas através de um sistema de gerenciamento de conteúdo são propensas a ataques XSS.
Explorando Parâmetros
Sites usam vários métodos para armazenar coisas como nomes de usuário e senhas para permitir que usuários autorizados acessem conteúdo restrito. Hackers podem colocar códigos maliciosos em páginas que podem seqüestrar informações do usuário passado como um parâmetro na URL. Os parâmetros são um método de armazenar e transmitir informações entre as páginas do browser através da adição de valores para o URL. linguagens de programação como javascript têm acesso gratuito aos parâmetros de URL, de modo que o código injetado pode solicitar os valores dos parâmetros, como nomes de usuário e senhas, e enviar esses valores em qualquer lugar.
Roubar os cookies
Sites geralmente usam "biscoitos," ou pequenos arquivos armazenados em computador, para salvar as informações do usuário para uso em páginas diferentes. Sites só pode acessar os cookies que eles criam, então site A não pode ler os cookies do site B. No entanto, um terceiro pode "Poção" cookies do site A injetando código-interpretar cookie no site A e encaminhá-lo ao longo para o site B.
Video: Conhecendo Cross Site Scripting
Protegendo sites a partir Injection
Webmasters pode proteger seu site de hospedagem ataques XSS, filtrando códigos potencialmente maliciosos dos visitantes do site. Um webmaster pode adicionar uma verificação de segurança para comentar e postar campos que retira comandos como o "roteiro" tag. Hackers podem tentar carregar scripts XSS através de outras tags HTML, bem como o uso caracteres codificados para filtros de bypass. Webmasters podem trabalhar ataques de injeção em torno codificadas por eliminasse ASCII caracteres especiais, código de codificação de URL, códigos numéricos HTML e códigos de nome HTML de campos user-entrada. Webmasters também pode usar ferramentas como Acunetix Scanner de Vulnerabilidade Web, SC Labs` Exploit-Me eo plugin XSS mim Firefox para verificar se há vulnerabilidades (consulte Recursos).
Referências
- ligação OWSAP.org: Cross-site Scripting (XSS)
- ligação PC Magazine: Definição de: XSS
- ligação Cgisecurity: The Cross-Site Scripting (XSS) FAQ
- ligação Acunetix: Cross Site Scripting Ataque
- ligação República tecnologia: O que é Cross-Site Scripting?
- ligação Computador esperança Jargon: Envenenamento de Cookies
Como visualizar a web móvel em um computador
Quais são os tipos mais comuns de ataque em servidores web?
Como adicionar cookies para meus navegadores
Faça servidores proxy evitar a propagação de códigos maliciosos?
javascript ou os scripts estão bloqueados
Como incorporar o twitter em um iframe
Questões de segurança do sistema operacional
Como usar javascript no sharepoint
Como se livrar de malware no meu site
Como remover cookies lso
O que é software de segurança relacionamento?
Será que um cookie abrandar um computador?
O que é webtrends viver?
Funções de callback em javascript
O que é um cookie e o que isso tem a ver com a minha privacidade? [Makeuseof explica]
Duas maneiras seu isp está espiando em você e como ser seguro [10 x surfeasy vpn total de + oferta z10 blackberry]
Garantir e acelerar o seu site gratuito com cloudflare
6 Coisas que você pode fazer para proteger o seu wordpress de hackers
Nova falha de segurança ebay: tempo para reconsiderar a sua participação?
3 Maneiras javascript pode violar a sua privacidade e segurança
Como se manter seguro do mais recente vulnerabilidade de segurança do ebay