Как избавиться от межсайтовых скриптингов?

Scripting

Межсайтовым скриптингом называется встраивание нежелательных кодов в коды htm страниц сайта, то есть XSS. XSS условно делятся на активную и пассивную формы, каждую их которых мы рассмотрим ниже. Об этом можно узнать, если скачать веб программирование по теме межсайтового скриптинга.

Пассивный XSS используется профессионалами только для того, когда необходимо встраивание javascript-сценариев, способных похитить номера сессии, которые используются для авторизации. Ограниченность такого случая заключается в передаче пользователю URL, непосредственно содержащему специально сформированные параметры GET. Оно часто присылается пользователю в спам-письмах или же когда пользователю необходимо перенаправиться на заданный URL с того сайта, который контролируется злоумышленником.

Пассивный можно использовать и для встраивания javascript-сценариев, похищающих номера сессии, использующиеся для авторизации. Ограниченности пассивного XSS в том, что требуется передать пользователю URL, содержащий специально сформированные -параметры. URL часто присылается пользователю в спам-письме, или же пользователь перенаправляется на данный с сайта, контролируемого злоумышленником.

Активный XSS

Такой активный XSS работает Web 2.0 на сайтах, то есть на тех, содержимое которых создается самими пользователями. Нежелательные скрипты могут быть помещены в сообщения на форумах, например, в профиль пользователя или же в личные сообщения. Так, в 2008 году на Хабре было хождение личного сообщения, которое содержало скрипт, он отправлял данное сообщение друзьям пользователя от своего имени.

Такой вредоносный javascript-сценарий часто передает злоумышленнику номера сессии пользователя или информацию с его cookie, именно она позволяет получить непосредственный контроль над аккаунтом пользователей.

Другие виды XSS

В них можно отметить подмену кодировки, увиденной в формируемом документе. Такое возможно при двух условиях:

1. попадает в тег <title> пользовательская информация в нефильтрованном виде (часто это ник пользователя или имя на странице профиля)

2. до тегов meta в документе находится тег title, такие теги определяют кодировку.

Более подробную информацию можно узнать, если скачать веб программирование со всеми курсами. Чтоб не допускать межсайтовый скриптинг, необходимо внимательно отфильтровать все данные, которые предоставляются пользователем.

Таким образом, если шире функциональные возможности сайта, то тогда больше возможностей XSS необходимо рассмотреть.

По информации: http://rosbrs.ru/

Если понравилсь эта запись, следи за ее обсуждением, подписавшись на RSS 2.0 .