Как объяснить XSS обычному владельцу/пользователю веб-сайта?
Как бы вы объяснили уязвимость межсайтового скриптинга непрограммисту (обычному веб-пользователю)?
4 answers
Я не думаю, что обычный пользователь способен понять XSS. Но проще всего сказать, что это тип уязвимости для внедрения кода, вызванной тем, что сайты не очищают вводимые пользователями данные и, таким образом, позволяют вводить вредоносный код на стороне клиента на сайт.
Вы могли бы привести такой пример:
- Интернет-магазин J-Mart позволяет пользователям публиковать отзывы.
- Отзывы пользователей не обработаны должным образом, поэтому код JavaScript может быть встроен в обзор.
- Приходит администратор J-Mart и входит в панель администратора магазина.
- Затем он просматривает отзыв пользователя с вредоносным кодом, встроенным в тег изображения.
- Его браузер загружает страницу и пытается загрузить изображение, оценивая JavaScript в атрибуте
imgтегаsrc. - JavaScript делает запрос AJAX, который добавляет фиктивную учетную запись администратора в магазин J-Mart.
- Поскольку администратор J-Mart вошел в систему, этот запрос успешно, и теперь злоумышленник имеет административный доступ к магазину J-Mart.
Проще говоря:
Если вы не установите блокировщик Javascript или не отключите Javascript, ваш веб-браузер автоматически будет доверять коду на посещаемых вами веб-страницах для доступа к информации, сохраненной на этих сайтах, и просмотра того, что вы делаете на этих сайтах.
Информация, которую можно сохранить, включает ваше имя пользователя и пароль для сайта или все, что вы вводите или делаете, находясь на этом сайте.
Уязвимости межсайтового скриптинга возникают, когда на сайте есть код это то, что было размещено там кем-то другим, кроме лица или компании, владеющей сайтом.
Поскольку ваш веб-браузер автоматически будет доверять коду, который он находит на сайте, тот, кто разместил там код, сможет видеть, что вы делаете на этом сайте, и, возможно, даже обманом заставит ваш браузер делать на этом сайте то, что вы не хотите делать.
Ваше посещение веб-сайта с включенными комментариями. Кто-то опубликовал скрипт в качестве комментария, который после загрузки в ваш браузер может захватить ваш браузер. Затем он может использовать ваши текущие учетные данные, чтобы притвориться, что это вы, украсть вашу информацию или множество других плохих идей, которые вы могли бы придумать, позволив кому-то, кого вы не знали, использовать вашу учетную запись.
Взлом со злым умыслом! (да, мы используем хакерство в благих целях)
Если это их не пугает, напомните им о facebook (с согласия xss, они все равно собирают тонны данных, в xss нет необходимости)! Надеюсь, это сработает!