IBM Rational AppScan: Суть межсайтовых атак с внедрением сценария (cross-site scripting)

Узнайте, как хакеры инициируют межсайтовые атаки с внедрением сценария (cross-site scripting, XSS), какой вред они могут нанести (и какой не могут), как их выявить и как защитить ваш Web-сайт и его посетителей от этих злонамеренных вторжений в систему обеспечения безопасности и нарушения конфиденциальности.

Что происходит при межсайтовой атаке с внедрением сценария

Межсайтовая атака с внедрением сценария (XSS) - одна из самых распространенных атак на уровне приложения, которые хакеры используют для незаконного проникновения в Web-приложения. XSS - это атака, направленная на конфиденциальную информацию клиентов конкретного Web-сайта, которая может привести к тотальному взлому системы безопасности с похищением или фальсификацией данных о пользователе. Большинство атак подразумевает участие двух сторон: атакующий и Web-сайт, либо атакующий и его жертва (на стороне клиента). Атаки XSS здесь являются исключением и подразумевают наличие трех участвующих сторон: атакующий, клиент и Web-сайт.

Целью XSS-атаки является похищение cookies клиента или другой важной информации, которая может идентифицировать клиента на Web-сайте. Имея в своем распоряжении маркер легитимного клиента, атакующий может действовать от его имени при взаимодействии с Web-сайтом, используя его персональные данные. К примеру, при проведении аудита в одной крупной компании выяснилось, что можно при помощи XSS-атаки получить номер кредитной карты и конфиденциальную информацию пользователя. Это было сделано за счет выполнения злонамеренного кода JavaScript в браузере жертвы (клиента) с получением прав доступа к Web-сайту. Для сценариев JavaScript устанавливаются очень ограниченные привилегии, которые обычно не разрешают сценарию доступ к любой информации, не относящейся к сайту. Важно подчеркнуть, что, несмотря на наличие на Web-сайте уязвимостей, непосредственно сайту вред никогда не наносится. Сценарию вполне достаточно собрать cookies и отправить их атакующему. В результате атакующий получает cookies и выдает себя за пользователя-жертву.

Источник: www.ibm.com


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок