Co je cross-site scripting
Cross-site Scripting (zkratka XSS) je v doslovném českém překladu skriptování napříč sítí. Jedná se o nejznámější techniku hackerského útoku, který spočívá v tom, že hacker do špatně zabezpečené webové stránky vloží vlastní modifikovaný HTML kód, který je následně interpretován jako HTML.
Cross-site Scripting je tedy velmi nebezpečnou a zákeřnou metodou, která v kombinaci s phishingovým a pharmingovým útokem může velmi snadno oklamat i protřelého koncového uživatele, protože díky zranitelnosti XSS hacker lehce přizpůsobí falešný obsah uživateli i na jinak seriózní a autoritativní stránce.
K tomu se váže to, že je bohužel velmi smutným faktem v rámci kyberprostoru, že skoro každý třetí webový server má znatelně vysoký počet neošetřených vstupů (bezpečnostní chyby v skriptu) ve zdrojovém kódu, což hraje zlým tzv. black hat hackerům dobře do karet.
3 nejznámějších XSS typy?
- DOM based neboli lokální – využívá se u statických webů, který je založen na neošetřeném přenesení URL adresy do následného javascriptu.
- Non-persisent – se děje na bázi modifikace části URL, což se děje hlavně u stránek s generovaným obsahem.
- Persistent – v tomto případě jde o trvalý zásah do zdrojového kódu.
Stejný princip, který vystihuje smysl Cross-site Scriptingu se používá u další kyberkriminální metody s názvem exploit, jenž taktéž hledá tzv. ničím nezaletované díry, ale místo webových serverů, pracuje v prostředí především dlouho neaktualizovaného softwaru.
- Víte, jak předcházet útokům XSS? Podívejte se na článek na serveru Zdroják.
- Jak opravit útok XSS?