Cross-site scripting

Z Wikipedie, otevřené encyklopedie

Cross-site scripting (XSS) je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění anebo dokonce k získávání citlivých údajů návštěvníků stránek, obcházení bezpečnostních prvků aplikace a phishingu.

Typickým příkladem XSS jsou chybně napsané PHP skripty, které zobrazují obsah stránky na základě speciálního parametru v URL adrese, např.:

http://www.neco.cz/index.php?stranka=info.html

Pokud je skript napsán chybně a nekontroluje se, co je uvedeno v parametru stranka, není nic jednoduššího než hodnotu parametru info.html nahradit URL adresou stránky, kterou si předem útočník na Internetu připraví, čímž se do napadených stránek vloží útočníkův kód. Běžně se takto do stránek vkládá kód JavaScriptu, který začně něco v prohlížeči návštěvníka stránek vykonávat.

[editovat] Podívejte se také na