Какова общая концепция XSS?
Межсайтовый скриптинг (XSS) - это тип уязвимости компьютерной безопасности, обычно встречающийся в веб-приложениях, который позволяет злоумышленникам внедрять сценарий на стороне клиента в веб-страницы, просматриваемые другими пользователями. Злоумышленники могут использовать уязвимость межсайтового скриптинга, чтобы обойти средства управления доступом, такие как одна и та же политика происхождения. Межсайтовый скриптинг, выполняемый на веб-сайтах, составлял примерно 80% всех уязвимостей безопасности, зарегистрированных Symantec на 2007 год.
Итак, значит ли это, что хакер создает некий вредоносный JS / VBscript и доставляет его ничего не подозревающей жертве при посещении легитимного сайта, на котором есть входы без выхода?
Я имею в виду, я знаю, как делается SQL-инъекция ....
Я особенно не понимаю, как JS / VBscript может нанести такой большой ущерб! Я думаю, что они запускаются только в браузерах, но, видимо, ущерб варьируется откейлогинг кражи куки и троянов.
Правильно ли я понимаю XSS? если нет, может кто-нибудь уточнить?
Как я могу предотвратить появление XSS на моих сайтах? Это кажется важным; 80% уязвимостей безопасности означает, что это очень распространенный метод взлома компьютеров.