4. Виды XSS-уязвимостей

Есть 2 виды XSS-уязвимостей:

1) Пассивные
2) Активные

К этому времени мы использовали пассивную XSS-уязвимость. Пассивные XSS-уязвимости не сохраняются на сервере, они срабатывают тогда, когда пользователь сделает некоторое дополнительное действие, например, кликнет по нашей специально сформированной ссылке. То есть их срабатывание требует некоторого действия от пользователя, и автоматически они не загружаются и не выполняются в браузере.
Активные XSS-уязвимости сохраняются на сервере и не требуют действия от пользователя. Они выполняются при переходе на некоторую страницу зараженного сайта. Как можно добиться такого эффекта? Для примера расскажу Вам активную XSS-уязвимость в он-лайн игре http://combats.ru, котрая была очень давно, и с которой я ознакомился в некоторой статье, но на мое время она уже не работала.

Уязвимость заключался в том, что нефильтровались символы в поле "Домашняя страница". Человек мог написать здесь любой скрипт, который выполниться при просмотре его анкеты. Автор статьи сделал скрипт, который загружался, если человек открывший его страницу с информацией героя, хотя бы на долю мгновения пошевелит мышкой по ней. Все кукисы отправлялись автору на сервер, и он мог войти под любым героем, который посмотрел его анкету. Добиться просмотра анкеты было не сложно — достаточно было всего-навсего подать заявку на бой…


5. Как защитить свой почтовый аккаунт?

Во-первых: никогда не открывайте подозрительные ссылки! Во-вторых, не читайте открытки от неизвестных Вам людей. Чаще всего в сообщениях, в которых говорится о том, что на Ваше имя пришла открытка, есть ссылка на фейковую страницу, которая сначала возьмет необходимые данные, а потом сделает редирект на страницу с открыткой, либо еще куда-то.



С Вами был Chrome~. Спасибо, что проявили интерес к моему материалу. Всего Вам наилучшего!



Внимание! Содержимое данной статьи предоставляется исключительно для ознакомительных целей! Автор не несет никакой ответственности за Ваши действия и за последствия от Ваших действий.