@runapa

Каким образом используется xss в строке поиска веб приложений?

Непонятно, как злоумышленник может использовать xss в строке поиска на вэб сайте, ведь js код исполняется в его браузере, и не может попасть к другим людям. Или я чего-то не понимаю?
  • Вопрос задан
  • 69 просмотров
Пригласить эксперта
Ответы на вопрос 2
delphinpro
@delphinpro
frontend developer
Ответ написан
Комментировать
xenon
@xenon
Too drunk to fsck
XSS - это не атака на сервер, а атака на пользователей.
Допустим, есть огромная XSS уязвимость на сайте. Мы можем заманить пользователя на нужный "хитрый" урл на том сайте ("нажмите на эту ссылку" или даже через JS на нашем сайте перенаправить его), или отправить на тот сайт сабмит формы. В итоге пользователь оказывается на уязвимом сайте с "вредным" запросом, и, например (уже в браузере пользователя!) исполняется код (с полномочиями пользователя на этом сайте).

Например, если банковское веб-приложение (его JS код) позволяет делать переводы, то и внедренный через XSS JS код тоже сможет сделать такие же запросы на перевод к серверу.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы