Mi a cross-site scripting támadások
Ezért használja ezt a példát az XSS-kiszolgáló sérülékenységének észleléséhez, de jelentés elkészítésekor vegye fontolóra a potenciális ártalmat, amelyet a biztonsági rés okozhat és magyarázhat. Ezzel nem azt értem, a történet a cég, mi a XSS, de felajánlotta, hogy elmagyarázza, mit lehet elérni a biztonsági rést, és hogy pontosan hogyan lehet az általuk helyszínen.
Az XSS három különböző típusa létezik, amelyekről jelentéseket tudtál olvasni és jelentéseket írni:
- Reflektív XSS: ezek a támadások nem tárolódnak a webhelyen, ami azt jelenti, hogy az XSS létrejön és végrehajtásra kerül egy lekérdezésben és válaszban.
- Tárolt XSS: ezek a támadások a webhelyen tárolódnak, és gyakran veszélyesebbek. Ezeket a kiszolgálón tárolják, és a "normál" oldalakon végrehajtják a gyanútlan felhasználók.
- Self XSS: ezek a támadások nem tárolja a helyszínen, és tipikusan részeként emberi megtévesztés céljából indításának XSS őket samim.Kogda amit keres réseket, azt találjuk, hogy a vállalatok gyakran nem törődnek hibaelhárítás Self XSS, ők csak az érintett mintegy esetekben, amikor kárt okozhat a felhasználóknak nem önmaguk, hanem valaki más, mint a Reflective and Stored XSS esetében. Ez azonban nem jelenti azt, hogy nem kellene az Ön XSS-t keresnie.
Ha olyan helyzet, amelyben a Self XSS tehető, de nem menti, gondolni, hogy ez a biztonsági rés, ha lehet használni használni együtt valamit, ami nem volt Self XSS?
Bár Sami példája viszonylag ártalmatlan volt, az XSS használatával ellophatjuk a bejelentkezéseket, jelszavakat, bankadatokat stb. Az esetleges ártalmak ellenére az XSS sebezhetőségek rögzítése általában nem bonyolult, és a fejlesztőknek egyszerűen meg kell jeleníteniük a felhasználói bevitelt (közvetlenül a HTML injektálásnál) a megjelenítéskor. Bár egyes webhelyek eltávolítják a potenciálisan káros karaktereket, amikor a hacker elküldi őket.
1. Shopify értékesítés
A Shopify27 egy egyszerű oldal, amely közvetlen cselekvésre szólít fel - írja be a termék nevét és kattintson a "Termékek keresése" gombra. Itt egy screenshot:
Pillanatkép a weboldal nagykereskedelméről
2. Ajándék kártyák kosara Shopify
Store ajándékutalványok Shopify29 webhely lehetővé teszi a felhasználók számára, hogy saját design egy ajándék kártyát használó HTML-formában, beleértve a fájl feltöltése doboz, néhány sornyi szöveg beviteli adatokat, és így tovább. Itt egy screenshot:
Shopify ajándékbolt ajándék kártya screenshot