Vad är cross-site scripting (XSS), och varför det är en säkerhetshot

Vad är cross-site scripting (XSS), och varför det är en säkerhetshot / internet

Säkerhetsproblem i hela siten är det största säkerhetsproblemet i dag idag. Studier har funnit att de är chockerande vanliga - 55% av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, som släpptes i juni 2012. Medan de flesta har hört talas om datavirus En kort historia av de 5 värsta datavirusen av All Time En kort historia av de 5 värsta datavirusen av all tid Ordet "virus" och dess anslutning till datorer anbringades av amerikansk datavetenskapare Frederick Cohen som använde den för att beskriva "ett program som kan" infektera "andra program genom att modifiera dem att inkludera en eventuellt ... Läs mer och andra sådana problem, XSS sårbarheter förblir okända för den genomsnittliga personen.

En sårbarhet på grund av skriptet gör det möjligt för en angripare att utföra en godtycklig JavaScript-kod (från en annan webbplats) på en webbsida. Koden körs på webbsidan i användarens webbläsare.

Ett exempel - Twitter StalkDaily Worm

Låt oss ta en titt på en XSS-attack som inträffade tidigare med Twitter. Under 2009 är StalkDaily-masken Vad är skillnaden mellan en mask, ett trojan och ett virus? [MakeUseOf Explains] Vad är skillnaden mellan en mask, ett trojan och ett virus? [MakeUseOf Förklarar] Vissa människor kallar någon typ av skadlig programvara ett "datavirus", men det är inte korrekt. Virus, maskar och trojaner är olika typer av skadlig programvara med olika beteenden. I synnerhet spred sig de själva i mycket ... Läs mer spridas hela Twitter. När en Twitter-användare besökt en infekterad användares profilsida blev deras profilsida också smittad och spridda ormen. Ormen skickade också ut tweets från varje infekterat konto.

Så, hur exakt fungerade StalkDaily-masken? Har någon hackat Twitters webbservrar? Inte riktigt - även om det var ett slags hack.

Varje Twitter-användare kan ställa in en kort bio på sin profilsida. Användare anger text i en profilruta och när de sparar profilen visas texten på sin profilsida. Någon insåg att Twitter inte ordentligt rengjorde textinmatningen från bioboxen (vi kommer till det senare) - det placerade bara textanvändarna direkt in i webbsidans källkod. Detta gjorde det möjligt för en användare att ange en HTMLL