Naar inhoud springen

Cross-site scripting

Uit Wikipedia, de vrije encyclopedie
Dit is een oude versie van deze pagina, bewerkt door Ptbotgourou (overleg | bijdragen) op 22 feb 2010 om 04:25. (robot Anders: ko:사이트 간 스크립팅)
Deze versie kan sterk verschillen van de huidige versie van deze pagina.

Cross-site scripting (XSS) is een benaming voor een type bedreiging voor de beveiliging van computers die in webapplicaties kunnen voorkomen. Het zelfde bron principe zegt dat een script van de ene bron niet de pagina en gegevens, zoals cookies, van een andere bron mag lezen of wijzigen. Wanneer een aanvaller het zelfde bron principe voor HTML-scripting probeert te omzeilen spreekt men van cross-site scripting.

In het begin werd de acroniem CSS gebruikt om cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en Content-scrambling system, die ook beide het acroniem CSS hebben, werd spoedig de afkorting XSS gebruikt waarbij de X staat voor cross (kruis).

Types

Er zijn ruwweg drie verschillende soorten XSS aanvallen. Bij het eerste soort XSS aanval wordt in een client-side script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen. Bij het tweede soort aanvallen wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden gebruikt om een HTML pagina te genereren. Hetzelfde gebeurt bij het derde type, alleen dan wordt de informatie in een database opgeslagen en dan gebruikt bij het genereren van HTML-pagina's voor meerdere personen. Dit laatste kan bijvoorbeeld gebeuren wanneer de tekst die wordt ingevoerd op bijvoorbeeld een discussieforum niet gecontroleerd wordt.

Overgenomen van "https://nl.wikipedia.org/w/index.php?title=Cross-site_scripting&oldid=20161173"