یکی از حفره های امنیتی و نقاط آسیب پذیر در برنامه های کاربردی وب ( Web Application ) هست و همچنین می تونه تحت عنوان یک حمله از نوع تزریق طبقه بندی کنیم چرا که در XSS یک
اسکریپت مخرب ( Exploit ) به یک وب سرور ( Web Server ) تزریق می شه و یا به عبارت ساده تر بخوام براتون بیان کنم :
” کراس سایت اسکریپتینگ ( Cross Site Scripting ) حمله ایه که در آن تزریق کد های مخرب به برنامه تحت وب و سرور ارسال می شود و مرورگر بدون هیچ گونه اعتبارسنجی آن رابرای سایر
کاربران ارسال می کنه و البته روش معمول برای اجرا از طریق های :
guest book
contact form
search bar
صورت می گیره .
که اجازه میده تا کاربر برخی از اطلاعات مهم را وارد سیستم کنه و بطور عمده در حال حاضر سه نوع XSS داریم :
Stored XSS
Reflected XSS
DOM based XSS
در حالت STORED :
کد های مخرب است به طور دائم بر روی سرور وب سایت و یا پایگاه داده از طریق نظرات و پیام انجمن ذخیره میشن .
در حالت REFLECTED :
کد یا اسکریپت های مخرب به روی سرور وب را در یک پنجره و یا پیغام خطا ، نتیجه جستجو و بسیاری از جاهای مختلف سایت ذخیره میشن .
در حالت DOM :
کدها و اسکریپت مخرب Exploit در سمت خود کلاینت (Client Side ) قرار می گیرند و ویرایش میشن .
آسیب پذیری XSS دارای ریسک بالا برای نفوذ و دسترسی غیر مجاز هست و در مواردی مثل :
حملات Session hijacking
حملات cookies stealing
حملات phishing
حملات website defacement
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.