Атаки для скриптов (XSS), пытаются ввести JavaScript в доверенных сайтах. Введенный JavaScript может затем воровать токены из печенья и локального хранения. Если токен доступа просочивается до истечения срока действия, злонамеренный пользователь может использовать его для доступа к защищенным ресурсам. Общие атаки XSS обычно вызываются неправильной проверкой данных, передаваемых на бэкэнду (аналогично атакам для инъекций SQL). Пример атаки XSS может быть связан с разделом комментариев общедоступного сайта. Каждый раз, когда пользователь добавляет комментарий, он сохраняется бэкэнда и отображается пользователям, которые загружают раздел комментариев. Если бэкэн не продемонстрирует комментарии, злонамеренный пользователь может написать комментарий таким образом, чтобы он мог интерпретировать браузером в виде тега
Рубрики
Сценарирование поперечного сайта (XSS)
Атаки для скриптов (XSS), пытаются ввести JavaScript в доверенных сайтах.