Wat is Cross-Site Scripting (XSS), en waarom het een bedreiging voor de veiligheid is
Cross-site scripting-kwetsbaarheden zijn vandaag het grootste beveiligingsprobleem op het gebied van websites. Onderzoek heeft aangetoond dat ze schokkend veel voorkomen - 55% van de websites bevatten XSS-kwetsbaarheden in 2011, volgens het laatste rapport van White Hat Security, uitgebracht in juni 2012. Hoewel de meeste mensen hebben gehoord van computervirussen Een korte geschiedenis van de 5 slechtste computervirussen van Aller tijden Een korte geschiedenis van de 5 slechtste computervirussen aller tijden Het woord 'virus' en de associatie met computers werd aangebracht door de Amerikaanse computerwetenschapper Frederick Cohen, die het gebruikte om 'een programma dat andere programma's kan' infecteren 'te modificeren door ze te wijzigen om een mogelijk ... Lees meer en andere dergelijke problemen, XSS kwetsbaarheden blijven onbekend voor de gemiddelde persoon.
Door een cross-site scripting-kwetsbaarheid kan een aanvaller willekeurige JavaScript-code (van een andere site) op een webpagina uitvoeren. De code wordt uitgevoerd op de webpagina in de browser van de gebruiker.
Een voorbeeld - De Twitter StalkDaily-worm
Laten we eens kijken naar een XSS-aanval in het verleden met Twitter. In 2009, de StalkDaily-worm What Is The Difference Between A Worm, A Trojan & A Virus? [MakeUseOf Explains] Wat is het verschil tussen een worm, een Trojaans paard en een virus? [MakeUseOf Explains] Sommige mensen noemen elk type kwaadaardige software een "computervirus", maar dat klopt niet. Virussen, wormen en Trojaanse paarden zijn verschillende soorten schadelijke software met verschillend gedrag. In het bijzonder verspreiden ze zichzelf in zeer ... Lees meer verspreid door Twitter. Toen een Twitter-gebruiker de profielpagina van een geïnfecteerde gebruiker bezocht, werd zijn profielpagina ook geïnfecteerd, waardoor de worm zich verspreidde. De worm stuurde ook tweets van elk geïnfecteerd account.
Dus, hoe precies werkte de StalkDaily-worm? Heeft iemand de webservers van Twitter gehackt? Niet helemaal - hoewel het een soort hack was.
Elke Twitter-gebruiker kan een korte biografie op zijn profielpagina plaatsen. Gebruikers voeren tekst in een profielvak in en zodra ze het profiel hebben opgeslagen, wordt de tekst weergegeven op hun profielpagina. Iemand besefte dat Twitter de tekstinvoer uit de biobox niet goed heeft schoongemaakt (we komen hier later op) - het plaatste de tekstgebruikers rechtstreeks in de broncode van de webpagina. Hierdoor kon een gebruiker een HTML invoerenL