Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsrisiko
Sårbarhetsproblemer på tvers av nettsteder er det største sikkerhetsproblemet i dag i dag. Studier har funnet at de er sjokkerende vanlige - 55 prosent av nettstedene inneholdt XSS sårbarheter i 2011, ifølge White Hat Securitys nyeste rapport, utgitt i juni 2012. Mens de fleste har hørt om datavirus En kort historie om de 5 verste datavirusene av All Time En kort historie om de 5 verste datavirusene av all tid Ordet "virus" og dets tilknytning til datamaskiner ble festet av amerikansk datavitenskapsmann Frederick Cohen som brukte det til å beskrive "et program som kan" infisere "andre programmer ved å modifisere dem å inkludere en mulig ... Les mer og andre slike problemer, XSS sårbarheter forblir ukjent for den gjennomsnittlige personen.
Et sårbarhetsproblem på tvers av nettsteder gjør det mulig for en angriper å utføre vilkårlig JavaScript-kode (fra et annet nettsted) på en nettside. Koden kjøres på nettsiden i brukerens nettleser.
Et eksempel - Twitter StalkDaily Worm
La oss se på et XSS-angrep som skjedde tidligere med Twitter. I 2009 er StalkDaily ormen Hva er forskjellen mellom en orm, et trojan og et virus? [MakeUseOf Forklarer] Hva er forskjellen mellom en orm, et trojan og et virus? [MakeUseOf Forklarer] Noen mennesker kaller en hvilken som helst type skadelig programvare et "datavirus", men det er ikke nøyaktig. Virus, ormer og trojanere er forskjellige typer ondsinnet programvare med forskjellige oppførsel. Spesielt spredte de seg i veldig ... Les mer spredt over hele Twitter. Når en Twitter-bruker besøkte en infisert brukeres profilside, ble deres profilside også smittet og spredt ormen. Ormen sendte også ut tweets fra hver infisert konto.
Så, hvordan virket StalkDaily-ormen? Har noen hakk Twitter's webservere? Ikke helt - selv om det var en slags hack.
Hver Twitter-bruker kan sette en kort bio på deres profilside. Brukerne skriver inn tekst i en profilboks, og når de lagrer profilen, vises teksten på deres profilside. Noen innså at Twitter ikke skikket sanitiserer tekstinngangen fra bio-boksen (vi kommer til dette senere) - det plasserte bare tekstbrukerne direkte inn i nettsidens kildekode. Dette tillot en bruker å skrive inn en HTMLL