Пређи на садржај

Cross-site scripting

С Википедије, слободне енциклопедије
Датум измене: 7. мај 2015. у 12:05; аутор: Tozaaa94 (разговор | доприноси) (Нова страница: {{VISER032015}} Cross-site scripting (XSS) je tip propusta u kompjuterskoj bezbednosti tipično nađena u Web aplikacijama. XSS dozvoljava napadaču da injektuje klije…)
(разл) ← Старија измена | Тренутна верзија (разл) | Новија измена → (разл)

Cross-site scripting (XSS) je tip propusta u kompjuterskoj bezbednosti tipično nađena u Web aplikacijama. XSS dozvoljava napadaču da injektuje klijentsku skriptu (Na primer JavaScript kod)[1] u web stranicu koja je kasnije pregledna drugim korisnicima. XSS slabost se može upotrebiti kako bi se zaobišla sigurnost sajta i samim tim izgubila kontrola nad istim, ili kako bi se ukrale informacije korisnika koji pristupaju sajtu. 2007. godine je zabeleženo da je razlog za oko 84% sigurnosnih propusta XSS.[2]

Pozadina

Sigurnost na web-u se bazira na nekoliko mehanizma, uključujući i koncept poverenja poznat kao politika istog porekla (engl. same-origin policy). On u suštini kaže da ako bilo koji sadržaj unutar sajta (na primer https://mojabanka.primer1.com) ima dozvolu za pristup resursima u sistemu, onda svaki sadržaj na tom sajtu deli iste privilegije, dok sadržaj sa drugog sajta (na primer https://drugisajt.primer2.com) ima svoje, odvojene, dozvole.[3]

XSS upotrebljava poznate slabosti u web aplikacijama, njihovim serverima, ili plug-in sistemima na kojima se oslanjaju. Eksploetacijom jedne od ovih, napadač implementira zlonameran sadržaj unutar sadržaj samog sajta. Kada rezultujući, kombinovani, sadržaj dostigne korisnika sa klijentske strane, sav materijal dolazi od poverljivog izvora, pa zatim računar daje puna prava skriptama te stranice. Ovim načinom, injekcijom skripta u web stranice, napadač može, sa punim pravom, preuzimati podatke o podacima na osetljivim stranicama, kolačiće, i niz drugih informacija koje pretraživači čuvaju za korisnika. XSS je, pritom, specijalan način injekcije koda u web sajtove.[4]

Prvi načini injekcije su bili JavaScript kodovi, međutim načini XSS napada su gradijalno rasli, gde su danas popularni i drugi jezici za injekciju (ActiveX, Java, VBScript, Flash, ili čak HTML).[4]

XSS slabosti su prijavljene još od 1990. Oštećeni sajtovi koji su pali pod efekat XSS-a uključuju i sajtove socijalnih mreža (Twitter[5], FaceBook[6], MySpace, YouTube i Orkut).[7][8] U skorije vreme, XSS propusti su prestigli bafer propuste i postali najčešća vrsta napada, gde je 2007. godine procenjeno da je 68% sajtova nezaštićeno od ovakvih napada.[9]

Reference

  1. ^ http://www.acunetix.com/websitesecurity/cross-site-scripting/
  2. ^ http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf
  3. ^ http://www.w3.org/Security/wiki/Same_Origin_Policy
  4. ^ а б http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html
  5. ^ http://www.guardian.co.uk/technology/blog/2010/sep/21/twitter-bug-malicious-exploit-xss
  6. ^ http://www.theregister.co.uk/2008/05/23/facebook_xss_flaw/
  7. ^ http://projects.webappsec.org/Web-Hacking-Incident-Database
  8. ^ http://www.zdnet.com/blog/security/obama-site-hacked-redirected-to-hillary-clinton/1042
  9. ^ http://web.archive.org/web/20080418072230/http://www.csoonline.com/article/221113
Преузето из „https://sr.wikipedia.org/w/index.php?title=Cross-site_scripting&oldid=10989694