Önálló XSS támadások
Ebben a cikkben bemutatjuk az új vektor XSS támadások, amelyek ugyan kapcsolódnak elhárítani a támadást, de valójában sokkal veszélyesebb, mint egy tárolt XSS
Összefoglaló XSS támadások (XSS) - ellenőrizhetetlen adatokat. Ebből a szempontból minden egyes alkalmazás kiadja a bemeneti adatok potenciálisan sebezhető, és lehet a támadók lopni a munkamenet azonosítót, a felhasználó kénytelen rosszindulatú tevékenységek, összegyűjti a fontos információkat, stb
XSS támadások tárolható, és tükröződik. A tárolt XSS sokkal veszélyesebb, mert lehetővé teszi, hogy figyelemmel kísérje az áldozatot hosszabb ideig. Tükröződik XSS bár kevésbé veszélyes, még mindig széles körben használják az adathalász támadások.
Neve önálló XSS teljesen magyarázza a típusú támadás. Ez a támadás nem igényel XSS sebezhetőséget egy webes alkalmazás. Minden, ami szükséges annak végrehajtását tartalmazza a URL-t. Elvégzése után az erőforrás URL automatikusan össze.
Rosszindulatú hivatkozások kell kezdeni az adatok: protokoll és speciálisan kialakított húr. A modern böngészők támogatás van több protokollt: http. https :, ftp: és kb. de a protokoll adat: a leginkább működőképes, mivel lehetővé teszi az AJAX alkalmazások létrehozásához PDF, DOC, MP3 és más formátumok nélkül kiszolgáló-oldali script támogatás. A specifikáció a leírt protokoll RFC2397.
Az alábbi példa bemutatja a hatalmas lehetőséget url rendszer adatok: magyarázza a lehetséges biztonsági kockázatot jelent. A következő hátrány lehet generálni HTML kódot lehet nyitni, és végre:
Ez a biztonsági rés kihasználható a Firefox, Opera és más böngészők lehetséges. Internet Explorer 6 és 7 nem teszik lehetővé, hogy az ilyen típusú támadásokat.