Что такое XSS атака? (Часть I)

XSS атака представляет собой межсайтовый скриптинг (англ. Сross Site Sсriрting — дословно «межсайтовый скриптинг») – это такой определенный вид атаки, направленной на пользователей веб-ресурса, цель которой – похитить данные аутентификации данного пользователя.

Хотя сокращенно от английской аббревиатуры звучит не совсем «XSS», но этот шаг вызван тем, чтобы не вводить путаницу с «CSS» (общепринятой аббревиатурой, обозначающей каскадную таблицу стилей в «веб-строительстве»).

Если верить статистике (а что может помешать нам ей верить?), то XSS атака статистически завоевала себе первое место в списке прочих уязвимостей сайтов. И чтобы «загасить» эту волну охранно пожарная сигнализация не поможет, она хороша в быту и повседневной жизни, а здесь с киберугрозой надо бороться кибер-средствами.

Как уже сложилось в оценке угроз для сайтов ссылаемся на оценки OWASP (Open Web Application Security Project), где XSS занимает «почетное» второе место, сразу после различного вида инъекций (не лекарства конечно).

Особую опасность вызывает то, что сервер допускающий проведение XSS атаки естественно может быть взломан, а объектом атаки может оказаться не только рядовой пользователь, но и администратор ресурса. А это уже административный доступ злоумышленника к серверу со всеми вытекающими последствиями.

Как это работает?

Возможность проведения XSS происходит тогда, когда на страницах которые формирует серверная сторона, например, PHP, возникает момент, дающий возможность исполнения «левых» неконтролируемых скриптов. Отличительная особенность данного вида атаки заключено в том, что она нацелена не на сам сервер, а посредством уязвимого сервера направляется непосредственно на любого пользователя такого ресурса.