Jan Štráfelda - Průvodce online -projektem
Praha/Mělník  |  776 678 044  |  jan@strafelda.cz  |  Pošlete mi poptávku

Cross-site scripting (XSS)

Cross-site scripting (XSS) je závažná bezpečnostní zranitelnost webových stránek, kdy útočník vloží do stránky vlastní škodlivý JavaScript, který se následně na stránce spustí. V nejjednodušším případě útok využívá toho, že se stránka generuje dynamicky a vypisuje se na ní vstup uživatele.

Například stránka výsledků fulltextového vyhledávání pravděpodobně obsahuje výpis fráze, kterou návštěvník webu vyhledával. Pokud web nemá dostatečně ošetřené uživatelské vstupy, útočník místo hledané fráze vloží do webové stránky vlastní příkaz, který může značné škody:

  • zobrazit nějaký nepříjemný obrázek
  • vložit do stránek škodlivý kód
  • přesměrovat uživatele na jiný web
  • poslat útočníkovi obsah stránky, včetně nějakých utajovaných dat
  • ukrást identitu uživatele (je-li přihlášený třeba do administrace, stane se přihlášeným i útočník
  • přimět uživatele k opakované autentizaci (následuje zcizení loginuhesla)

Zaujal jsem vás? Přihlašte se do mailingu a mé další texty už vám neuniknou:

Zprávy posílám cca 8× ročně. Odhlásit se můžete kdykoliv. Více informací.