XSS (InterSight Scripting) und seine Bedrohung für die Sicherheit Ihrer Website in Yandex

Diese Art von Angriffen zielt auf Websites ab, auf denen die von den Benutzern eingegebenen Daten angezeigt werden. Anstatt zu versuchen, auf die Datenbank zuzugreifen, indem sie einen schädlichen Code eingeben, richten sich Angreifer auf den Code der Website selbst und führen schädliche Fragmente in seine Struktur ein.

Viele Websites speichern die Namen der Benutzer in der Datenbank, um sie an jedem Eingang zur Website anzuzeigen. Der Angreifer kann ein gefälschtes Konto erstellen, indem er den böswilligen Code im Namen eingibt. Ein solcher Code kann mit JavaScript implementiert werden, das dann böswillige Inhalte von einer anderen Website lädt. Die Datenbank speichert den Benutzernamen nicht, sondern der Code, der bei der Anzeige auf der Website ausgeführt werden kann, was eine ernsthafte Bedrohung für die Sicherheit Ihrer Website in Yandex darstellt.

Entwickler ignorieren diesen Aspekt der Sicherheit oft. Jüngste Vorfälle zeigten, dass viele beliebte Websites Opfer der XSS -Angriffe wurden, unter denen es große Ressourcen wie MySpace, Facebook, Google und andere gab.

Wie der XSS-Atak auf Ihrer Website in Yandex funktioniert

Betrachten Sie das folgende Beispiel des PHP -Code, der für XSS anfällig sein kann:

$firstname = $_POST["firstname"]; 
echo "Your name: $firstname";

Nach dem Eingeben des Namens im Webformular zeigt die Website die entsprechende Nachricht an. Wenn Sie den Namen "Chris" eingeben, lautet die Nachricht wie folgt: "Ihr Name: Chris."

Wenn Sie jedoch den folgenden Code anstelle des Namens eingeben: "