#pentest #practice
XSS-атака
Почему межсайтовое выполнение сценариев или межсайтовый скриптинг (XSS, англ. Cross-Site Scripting) правильнее называть атакой, а не уязвимостью? Дело в том, что XSS является лишь одним из возможных способов эксплуатации уязвимости определенного класса.
Подробнее можно ознакомиться с довольно качественной статьей на хабре. Не обращайте внимание на год, ведь тема не теряет свою актуальность.
Так что это за зверь такой, XSS-атака? XSS позволяет злоумышленнику внедрить вредоносный код на страницу веб-приложения и отправить его обратно в браузер пользователя, где этот код будет выполнен. Причиной этому являются доверительные отношения разработчика приложения к входным данным или некорректная фильтрация входных данных.
Разновидности XSS-атак:
✔️Постоянная (хранимая) XSS, при которой вредоносный код хранится на стороне сервера (например, в базе данных) и отдается каждому пользователю, посещающему зараженную страницу
✔️Непостоянная (отраженная) XSS, при которой пользователю необходимо посетить специально сформированную ссылку
✔️XSS в DOM-модели, которая возникает на стороне клиента во время обработки данных внутри JavaScript сценария.
Подробнее с каждой разновидностью ознакомимся в следующих постах, а сейчас вы можете попрактиковаться на тестовых лабораториях от компании PortSwigger. Переходите по каждой кликабельной ссылке и повышайте мастерство эксплуатации XSS-атак.👇
https://proglib.io/w/8831f5f0
XSS-атака
Почему межсайтовое выполнение сценариев или межсайтовый скриптинг (XSS, англ. Cross-Site Scripting) правильнее называть атакой, а не уязвимостью? Дело в том, что XSS является лишь одним из возможных способов эксплуатации уязвимости определенного класса.
Подробнее можно ознакомиться с довольно качественной статьей на хабре. Не обращайте внимание на год, ведь тема не теряет свою актуальность.
Так что это за зверь такой, XSS-атака? XSS позволяет злоумышленнику внедрить вредоносный код на страницу веб-приложения и отправить его обратно в браузер пользователя, где этот код будет выполнен. Причиной этому являются доверительные отношения разработчика приложения к входным данным или некорректная фильтрация входных данных.
Разновидности XSS-атак:
✔️Постоянная (хранимая) XSS, при которой вредоносный код хранится на стороне сервера (например, в базе данных) и отдается каждому пользователю, посещающему зараженную страницу
✔️Непостоянная (отраженная) XSS, при которой пользователю необходимо посетить специально сформированную ссылку
✔️XSS в DOM-модели, которая возникает на стороне клиента во время обработки данных внутри JavaScript сценария.
Подробнее с каждой разновидностью ознакомимся в следующих постах, а сейчас вы можете попрактиковаться на тестовых лабораториях от компании PortSwigger. Переходите по каждой кликабельной ссылке и повышайте мастерство эксплуатации XSS-атак.👇
https://proglib.io/w/8831f5f0