هنر تزریق کد در برنامه کاربردی از جذابترین روشهای حمله نفوذگران است که بیشترین نشت اطلاعاتی از طریق
همین حملات صورت می گیرد.اگرچه مخففCSS ، Cross Site Scripting میباشد اما با توجه به اینکه CSS به عنوان مخففCascading Style Sheets به کار برده میشود، به همین دلیل ازXSS برای مخفف Cross Site Scripting استفاده میشود.در این حمله با باز کردن یک صفحه وب سایت، کلیک روی یک لینک و یا باز کردن یک ایمیل، کدی به صورت مخفی روی کامپیوتر کاربر اجرا میشود که میتواند اطلاعات مهمی را از سیستم کاربر سرقت کند. هکرها با استفاده از این حمله کوکیها را سرقت میکنند و از طریق آنها به اطلاعات کاربران دسترسی پیدا میکنند.
هنگامی که کاربر وارد یک حساب اینترنتی مانند ایمیل، حساب بانکی یا حساب های دیگر میشود اطلاعاتی (کوکی ها) روی کامپیوتر کاربر ذخیره میشود..
مثلا مممکنه بعد از ورود اطلاعات یک کاربر مانند نام کاربری و رمز عبور در سایت یکی از بانکها یا موسساتی که در برابرXSS محافظت نشده اند، این اطلاعات توسط هکر، بدون اینکه کاربر آگاهی یابد، سرقت شود. فرض کنید در یک وبسایت، کاربر اجازه ثبت نظر خود را در زیر پستها دارد. زمانی که ما به عنوان کاربر اقدام به ثبت یک نظر می نماییم، درخواستی مانند بدنه ( Body ) زیر ارسال میشود:
وID=1&Comment=A+alert+Comment. با این کار هر کاربری ک وارد سایت بشود این کد رو همراه بقیه محتویات صفحه دریافت میکنه
<p>A alert Comment.</p> حالا یه سوال این به چه معناست؟ اگر کاربر قادر ب تزریق این کد ک شامل تگ
است
است xss یعنی برنامه نویس از فیلتر برای این تگ استفاده نکرده و سایت دارای باگ نقاطه ورودی برنامه که روی اون میتونیم پردازش انجام بدیم پارامترها و سایر دادههایی که در Query هایURL بدنه درخواست موجود است.
مسیر فایلهایURL.
هست قابل استفاده نیستXSS Reflected که در HTTPهدر های
هر مسیر خارج از برنامه ( Out-of-band ) که از طریق آن مهاجم قابلیت تحویل داده را به برنامه دارد. این مسیرها بسته به نوع کارکرد برنامه، کاملا متفاوت اند و فقط به عملکرد برنامه بستگی دارند.
در پایان
آسیب پذیریXSS یک حمله همهکاره که راه را برای انواع حملات مهندسی اجتماعی، ربودن حساب و افشای اطلاعات باز میکند و خود میتواند باعث ایجاد دیگر رخنههای امنیتی شود. میتواند باعث تخریب وجه سازمانی و یا دادن دسترسیهای بالا به نفوذگران شود پس نمیتوان این حملات را جدی نگرفت
