WWW hacking a obrana / 8. časť
V predošlej časti nášho seriálu sme ukončili tému SQL Injection. Teraz sa vrátime k útokom XSS, ktoré preberieme podrobnejšie. Konkrétne typy útokov okomentujeme a opíšeme, prečo fungujú alebo v minulosti fungovali.
XSS (Cross Site Scripting)
Žiaľ, útoky typu XSS sú nielenže jednoducho uskutočniteľné, ale spôsoby injektovania kódu môžu mať veľmi veľa podôb, čo výrazne sťažuje ošetrenie. Hoci sa XSS považuje za útok prostredníctvom vkladania skriptov JavaScript, nie je to vždy nevyhnutne tak. Pri tomto type útokov totiž možno do aplikácie vkladať napríklad aj kód HTML či hocijaký iný, ktorý dokáže webový prehliadač interpretovať.
Napríklad prehliadače Internet Explorer podporujú aj technológiu Visual Basic Script (VBScrpit), a preto možno vkladať aj príkazy tohto skriptovacieho jazyka. Rovnaké je to aj so zásuvným modulom nejakého webového prehliadača, ktorý by interpretoval určité príkazy v zdrojovom kóde.
My sa najprv budeme venovať klasickým XSS, a preto začíname tagmi
Článok je uzamknutý
Prihlásiť pomocou členstva NEXTECH
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva NEXTECH