<MyRusakov.ru />

Финансовая грамотность от А до Я

Финансовая грамотность от А до Я

Данный курс в кратчайшие сроки обучит Вас финансовой грамотности. Эти знания позволят Вам получить, как минимум, серьёзную финансовую стабильность, а, как максимум, финансовую независимость.

В рамках курса даётся большое количество практических заданий, благодаря которым Вы не просто посмотрите курс, а действительно выполните ряд важнейших шагов, о которых в нём говорится.

Помимо самого курса Вас ждёт ещё бесплатный ценный Бонус: «Ранний выход на пенсию». В рамках этого Бонуса Вы узнаете, какой должен быть капитал конкретно в Вашем случае, варианты его получения, а также какие есть стратегии вывода капитала на пенсии и где их можно протестировать.

Подробнее
Уроки и статьи
Подписка

Подпишитесь на мой канал на YouTube, где я регулярно публикую новые видео.

YouTube Подписаться

Подписавшись по E-mail, Вы будете получать уведомления о новых статьях.

Подписка Подписаться

Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте в моей группе.

Мой аккаунт Мой аккаунт Моя группа
Опрос

Какая тема Вас интересует больше?

Полное руководство по XSS. Часть 1

Полное руководство по XSS. Часть 1
Межсайтовый скриптинг (XSS) представляет собой внедрение кода, которое позволит атакующему исполнить вредоносный Javascript-код в браузере пользователя. Я уже писал о XSS, а в этой и последующих статьях я более подробно остановлюсь на этой теме.

Атакующий, в общем случае, напрямую не нацелен на конкретную жертву. Вместо этого он эксплуатирует уязвимость в коде сайта, который посещают люди. Для браузера жертвы вредоносный код является частью сайта и поэтому сайт выступает в роли “носителя вируса“.

Единственный путь для атакующего запустить вредоносный JS-код в браузере жертвы – это внедрить его в одну из страниц, которую может загрузить жертва с сайта. Подобная атака становится возможной, если на сайте есть включение пользовательского ввода на странице (комментарии к статье, например). У атакующего появляется возможность вставить произвольную строку, которая будет рассматриваться как правильный код браузером жертвы.

В примере ниже, простой серверный скрипт используется для вывода последнего комментария на сайте.

<?php

  $db = DB::getInstance(); // получаем соединение с базой данных
  $lastComment = $db -> getLastComment(); // получаем последний комментарий
  print $lastComment;

?>

В данном случае подразумевается, что комментарий состоит только из текста, и что, при его сохранении в базе данных разработчик сайта не фильтрует входные данные, т.е. на сайте – уязвимость. Поэтому атакующий может отправить комментарий с подобным содержанием:

  <script> alert(“Ваш сайт взломан”); </script>

И любой пользователь, который посетит эту страницу, будет атакован.

Чем опасен вредоносный Javascript-код? Возможность исполнения JS-кода в браузере жертвы, на первый взгляд, может показаться не такой опасной. В конце концов, сильно сокращенная среда выполнения Javascript, серьёзно ограничивает доступ к файлам пользователя и к операционной системе вцелом. Вы можете открыть консоль вашего браузера и выполнить там любой код – он не причинит вреда вашему компьютеру.

Однако, не все так просто. Вот в таких случаях JS код становится крайне опасным:

  1. У Javascript есть доступ к части конфиденциальной пользовательской информации (cookie).
  2. Javascript может отсылать HTTP-запросы с произвольным содержанием на произвольные адреса используя Ajax и другие механизмы.
  3. С помощью Javascript можно делать произвольные модификации в HTML- коде текущей страницы с помощью DOM.

Эти особенности вместе взятые, создают серьёзные угрозы безопасности.

Последствия вредоносного кода

Среди прочего возможность исполнить произвольный Javascript в браузере открывает для атакующего возможность следующих атак:

  1. Похищение cookie. Атакующий может получить доступ к cookie жертвы с сайта, используя document.cookie, отправить их на свой сервер и извлечь из них важную информацию, например идентификатор сессии.
  2. Запись нажатий клавиш. Ставится слушатель (listener) на нажатие клавиш и весь вводимый на странице текст отправляется атакующему.
  3. Фишинг. Замена легитимных адресов форм, например авторизации, на подконтрольные атакующему адреса.

Несмотря на то, что сами эти атаки отличаются друг от друга существенно, они все имеют общую особенность: внедренный в страницу код исполняется в контексте сайта. Это означает, что вредоносный код рассматривается, как и любой другой скрипт на странице: у него есть доступ ко всем данным жертвы. И этот скрипт может делать все, что может делать любой другой скрипт на странице – в этом и заключается особая опасность XSS.

  • Создано 16.01.2018 11:46:49
  • Михаил Русаков

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка:

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи):

Комментарии (0):

Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.