Един от най-често срещаните класове уязвимости в уебсайтовете се нарича „Cross-Site Scripting“ или „XSS“. XSS уязвимостите са там, където е възможно потребителят да предизвика изпълнение на JavaScript. Съществуват редица различни варианти на XSS уязвимост, с различна степен на сериозност.
Проблемът с това, че нападателят може да изпълнява JavaScript в сесиите на други потребители е, че тогава е възможно нападателят да направи каквото и да е на уебсайта, който жертвите виждат. Това включва пренасочване на жертвите към външни уебсайтове, кражба на токени за удостоверяване и наблюдение на данните за ��лащане.
Най-тежката форма на XSS уязвимост е „Съхранено“ или „Постоянно“ междусайтови скриптове, това е мястото, където е възможно нападателят да създаде XSS полезен товар и след това да го изпрати, така че да бъде запазен в базата данни. С XSS експлойт, запазен в базата данни, тогава е възможно той да засегне други потребители за широк период от време.
Друга форма на междусайтови скриптове е „Отразена“, този тип не се записва в нито един момент, вместо това полезният товар се включва в браузъра. Обикновено този тип XSS е част от фишинг атаки, при които нападателят се опитва да подмами жертвата да щракне върху злонамерена връзка.
По принцип повечето XSS атаки имат полезния товар, изпратен до сървъра в даден момент, но някои атаки са чисто от страна на клиента, никога не се изпращат до сървъра и вместо това засягат само JavaScript от страна на клиента. Това се нарича DOM-базиран XSS, тъй като остава в обектния модел на документа на JavaScript или DOM. Този тип уязвимост е особено труден за идентифициране и разрешаване, тъй като експлойтите никога не се виждат от сървъра и затова не могат да бъдат регистрирани.
Исторически техниката за превенция срещу XSS уязвимостите е да се филтрират всички подадени от потребителя данни, като се използват списъци с блокове, за да се отхвърлят всякакви съобщения със смислени знаци или думи в JavaScript. Това води до надпревара във въоръжаването за намиране на байпаси за филтъра, като същевременно предотвратява някои законни потребителски заявки. Правилното решение е да се използват HTML обекти за кодиране на подадени от потребителя данни. с активирани модули за HTML обекти, знаците автоматично се кодират във формат, в който браузърът знае да ги показва като правилни символи, но не и да ги третира като код.
Откритото първенство на САЩ се завръща в Националния тенис център USTA Billie Jean King в Ню Йорк за своето 143-то издание. Стотици играчи ще се борят за шампионския трофей и дял от наградния фонд от 65 милиона долара.
Знаете ли, че Facebook навърши 17 години през 2023 г. Времето лети и вашият Facebook акаунт може да е по-стар, отколкото си мислите.
Постоянно ли получавате
Абонаментът за Adobe Creative Cloud ви дава достъп до облачни инструменти, като Adobe Photoshop или Illustrator, за да изведете творческите си произведения на следващото ниво. Въпреки това, приложенията на Creative Cloud не винаги могат да ви помогнат с това, от което се нуждаете за определени проекти, а в днешно време имаме много алтернативи на Adobe, включително безплатни като Gimp.
Чували ли сте, че можете да „закачите“ видеоклипове или коментари в TikTok, но не сте сигурни какво точно означава това? Тук ще обясним функцията за закачване и как да я използвате в TikTok.
Запален гледач ли сте на HBO Max, но не можете да си спомните паролата си? Не се паникьосвайте.
Ако сте заредили устройството си достатъчно, че вече не ви е необходим режимът за пестене на батерията, или просто искате устройството ви да работи с максимален капацитет, лесно е да изключите режима за пестене на енергия на вашите устройства с Microsoft Windows 11, Windows 10, macOS, Android, iOS и iPadOS. Ще ви покажем как да направите това на вашия настолен компютър или мобилно устройство.
Опитвате се да влезете в акаунта си в Snapchat, само за да бъдете посрещнати със съобщение за грешка и код C14A. Сървърите на платформата може да не работят, което причинява проблеми с влизането навсякъде.
Instagram е популярна платформа за споделяне на снимки, видеоклипове и съобщения, но има един недостатък - нежелани взаимодействия. Може да искате малко спокойствие от съобщенията, които получавате, но ако отворите директно съобщение, подателят ще разбере, че сте го прочели веднага.
Продължаваш ли да получаваш
