Хочу підняти таку тему як захист від XSS і CSRF, а також що це таке.
Ясна річ, що від таких атак повинен захищати вебмастер, тобто там фільтрація даних, налаштування сервера і інші, але тим не менш користувачеві теж непогано задуматися про захист, все-таки такі атаки йдуть саме на користувача, а не на сервер або скрипт.
XSS (англ. Cross Site Scripting - «міжсайтовий скриптинг») -
Дана атака використовує відомі уразливості в web-додатках, серверах (або в системних плагинах, що відносяться до них).
Сенс цієї атаки полягає в встановленні шкідливого коду і виконання його у жертви, таким чином можна вкрасти куки, проексплуатувати CSRF (Про це нижче).
Взагалі XSS атаки досить великі, сенсу немає їх розглядати тут, бо можна прочитати в той-же вики, необхідно зрозуміти що XSS - Це вбудовування свого коду і виконання у жертви, приклад:
Якщо жертва клацне по посиланню, то відбудеться зараження на уразливому сайті, також можуть-бути і постійні XSS, для яких кликати нічого не треба, а досить зайти на уразливий сайт.
Давайте тепер розглянемо термін CSFR:
CSRF (англ. Сross Site Request Forgery - «міжсайтовий підробка запиту», також відомий як XSRF)
Сенс полягає в тому, що-б від імені користувача вчиняти будь-які дії.
На жаль мало сайтів захищені від таких атак, але це не XSS, хоча часто для експлуатації XSS використовують CSFR, приклад:
Наприклад, якщо тут на форумі буде знайдена XSS, можна через цю XSS від імені жертви створювати теми, листування і т.д.
Наприклад, користувач Аліса може переглядати форум, де інший користувач, Меллорі, розмістив повідомлення.
Нехай Меллорі створив тег , в якому в якості джерела картинки вказано URL, при переході за яким виконується дія на сайті банку Аліси, наприклад:
4) Постійно оновлювати браузери і плагіни, особливо такі як Adobe, бо XSS можуть-бути і в браузерах. ;