Центр исследования компьютерной преступности

home контакты

XSS активно используется в фишинг атаках

Дата: 25.09.2006
Источник: Securitylab.ru


cybercrime/img7.jpg Сущность атак межсайтового скриптинга (XSS) – непроверяемые данные. С этой точки зрения каждое приложение, которые выводит входные данные является потенциально уязвимым и может быть эксплуатировано атакующим для кражи идентификаторов сессий, принуждения пользователей к злонамеренным действиям, сбора важной информации и т.д.

XSS атаки могут быть хранимыми и отраженными. Хранимый XSS является более опасным, поскольку позволяет контролировать жертву более длительное время. Отраженный XSS хотя и считается менее опасным, он все же активно используется в фишинг атаках.

Данный метод может использоваться для обхода почтовых фильтров, XSS фильтров, межсетевых экранов и функций проверки данных. Более того, если вы просматриваете злонамеренное сообщение с помощью уязвимого к XSS просмотрщика RSS каналов, вы можете нажать на следующую ссылку и увидеть результат работы функции alert().

Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Злонамеренная ссылки должна начинаться с data: протокола и специально сформированной строки. В современных браузерах существует поддержка множества протоколов: http:, https:,ftp: и about:, но протокол data: является самым функциональным, поскольку позволяет AJAX приложениям генерировать PDF, DOC, MP3 и другие форматы без нужды в серверной поддержке сценариев.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2018 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.