Cross-Site Scripting (XSS)

Lexikon webových zranitelností

zpět
Název: Cross-Site Scripting (XSS)
Zařazení: Injection, Útoky proti uživatelům, Validace vstupu a výstupu
Závažnost: Nízká - Vysoká

Popis:

Cross-Site Sripting patří mezi nevíce rozšířenou zranitelnost ohrožující webové aplikace. Průzkumy hovoří o tom, že touto zranitelností trpí 50-80% všech webových aplikací.

Útoky zneužívající XSS spadají do kategorie útoků proti koncovým uživatelům, protože během nich jde útočníkovi o to, aby spustil kód JavaScriptu ve webovém prohlížeči své oběti. Aby ale získal skript kontrolu nad požadovanými daty, musí být kvůli bezpečnostní politice Same Origin Policy skript načten ze stejné domény, jako data, ke kterým má získat přístup. Útočník proto musí svůj skript nejprve injektovat na cílovou doménu, odkud se později spustí uživateli v prohlížeči při návštěvě nakažené stránky.

Obrana spočívá ve správném ošetření potenciálně nebezpečných metaznaků při výstupu uživatelských dat do webové stránky. Na straně uživatelů dokáží některým typům útoků zabránit XSS filtry implementované ve webových prohlížečích. Správcům aplikací pak dokáže před zneužitím neošetřeného výstupu pomocí bezpečnostní politika Content Security Policy.