XSS — это атака, которая позволяет внедрять и выполнять вредоносные HTML или JavaScript. Это может быть использовано для кражи критически важных данных (например, данных сеанса) из файлов cookie. Поскольку код выполняется в контексте уязвимого приложения, это позволяет выполнять другие атаки, такие как фишинг, вход с клавиатуры или перенаправление пользователя на вредоносный веб-сайт. В случае«сохраненных межсайтовых сценариев»внедренный код постоянно помещается в приложение, что делает его более опасным, чем«Отраженный межсайтовый скриптинг»,где злоумышленник должен отправить жертве специально подготовленную ссылку.
Одно из изученных приложений выявило множество параметров, которые были подвержены введению javascript. Ниже приведен отрывок из запроса с вредоносным кодом, отмеченным красным цветом. Он выполняет действие, отображающее уведомление Alert,и нацелен только на документацию о том, что такая атака возможна. Во время реальной хакерской атаки, чаще всего с помощью XSS крадут сеансовый торт.
На рисунке ниже вы можете увидеть выполнение вредоносного кода в браузере жертвы через действие, которое отображает уведомление Alert.
