תוכן עניינים:
הגדרה - מה המשמעות של סקריפטים בין אתרים (XSS)?
Cross Site Scripting (XSS) הוא תהליך של הוספת קוד זדוני לאתר מקורי כדי לאסוף מידע של משתמשים בכוונה זדונית. התקפות XSS אפשריות באמצעות פגיעויות אבטחה שנמצאות ביישומי אינטרנט ומנוצלות בדרך כלל על ידי הזרמת סקריפט בצד הלקוח. למרות שלרוב משתמשים ב- JavaScript, ישנם תוקפים המשתמשים ב- VBScript, ActiveX או Flash.
Techopedia מסביר סקריפטים בין אתרים (XSS)
כאשר מנוצלים בהצלחה פגיעות של XSS, יישום השרת יכול להיחשף ברצינות לסיכונים גדולים. לדוגמה, משתמשים יכולים להיות מעובדים להפעלת סקריפטים זדוניים בעת צפייה בדפים שנוצרו באופן דינמי. אפשרות נוספת כוללת תוקף שמשתלט על הפעלת משתמשים לפני שתוקף העוגיה המקביל לפגישה שלו יפוג. במקרה נוסף, משתמשים חפים מפשע יכולים להיות מחוברים לשרת זדוני.
כמעט בכל התרחישים, מערכת הקורבן מותקפת על ידי שימוש בהרשאות הקורבן בעצמם. ההתקפות יכולות להתפתח לחטיפת חשבונות, גניבת עוגיות, פרסום כוזב ושינוי בהגדרות המשתמש בחשבון הקורבן.
אחת הדרכים להפחית את הסיכונים של ניצולי XSS היא על ידי כיבוי של סקריפט פעיל בדפדפנים. למרבה הצער, זה גם מסיר את יכולתו של הדפדפן להפעיל אתרים דינמיים ואינו פיתרון מציאותי עבור מרבית המשתמשים.
