Cross Site Scripting (XSS)
CERT info on XSS
CGISecurity’s Cross Site Scripting FAQ
Gunter Ollmann’s XSS paper
PeterW’s Cross Site Request Forgery (CSRF) Concept
SecureNet’s Session Riding paper
- "Un usuario tiene que hacer clic en un vínculo que estén afectados por XSS." No - si usted visita una página el navegador se ejecutará independientemente de que usted haga clic en un enlace. cuidadosamente este ejemplo por lo que no se ejecute en su navegador, pero me podría haber puesto las etiquetas de secuencias de comandos reales / comandos aquí y te hizo correr entonces transparente.
- "XSS sólo pasa en boletines , blogs y otros sitios en los que un atacante puede cargar script de contenido." Esa es una forma en que el ataque puede suceder, pero un atacante también puede aprovechar los sitios que permiten HTML / SCRIPT etiquetas que se refleja de vuelta a la mismo usuario (como un formulario de búsqueda que se repite lo que fue informado de que debe buscar en la respuesta). Estas fallas son comúnmente combinado con redirecciones a sitios público o mensajes de correo electrónico para atacar a un segundo sitio.
- "No.. sólo los ataques XSS crean ventanas emergentes, alertas y otras cosas molestas?" No - Normalmente se utilizan para revelar las cookies o la forma de acceso basada en la información a los atacantes. Después de obetner esta información, el atacante la utiliza para entrar en el mismo sitio que tú.
- "Yo entiendo los XSS, pero no creo que es un enorme problema". Creo que usted cambia de opinión una vez que comprendes este avanzado ataque. Lea las cosas avanzadas y por debajo de jugar con XSS-proxy para ver cómo realmente lo mal que un XSS puede ser.
Puede descargar XSS-proxy aquí:
XSS-Proxy_0_0_12-book.plo leer mas AKA
No hay comentarios:
Publicar un comentario