En av de vanligaste klasserna av sårbarhet på webbplatser kallas "Cross-Site Scripting" eller "XSS". XSS-sårbarheter är där det är möjligt för en användare att få JavaScript att köras. Det finns ett antal olika varianter av XSS-sårbarhet, med varierande svårighetsgrad.
Problemet med att en angripare kan köra JavaScript i andra användares sessioner är att det då är möjligt för angriparen att göra vad som helst med webbplatsen som offren ser. Detta inkluderar att omdirigera offer till externa webbplatser, stjäla autentiseringstokens och övervaka betalningsdetaljer.
Den allvarligaste formen av XSS-sårbarhet är "Lagrad" eller "Persistent" Cross-Site Scripting, det är här det är möjligt för en angripare att skapa en XSS-nyttolast och sedan skicka in den, så den sparas i databasen. Med en XSS-exploatering sparad i databasen är det sedan möjligt för den att påverka andra användare över en bred tidsperiod.
En annan form av Cross-Site Scripting är "Reflected", denna typ sparas inte vid något tillfälle, istället ingår nyttolasten i webbläsaren. Vanligtvis är denna typ av XSS en del av nätfiskeattacker, där en angripare försöker lura ett offer att klicka på en skadlig länk.
Generellt sett har de flesta XSS-attacker nyttolasten skickad till servern någon gång, men vissa attacker är rent klientsida, skickas aldrig till servern och påverkar istället bara JavaScript på klientsidan. Detta kallas DOM-baserad XSS eftersom det stannar i JavaScript Document Object Model, eller DOM. Denna typ av sårbarhet är särskilt svår att identifiera och lösa eftersom utnyttjandena aldrig ses av servern och därför inte kan loggas.
Historiskt sett är den förebyggande tekniken mot XSS-sårbarheter att filtrera all användarinlämnad data, med hjälp av blocklistor för att avvisa alla meddelanden med meningsfulla tecken eller ord i JavaScript. Detta tenderade att leda till en kapprustning för att hitta förbikopplingar för filtret samtidigt som det förhindrade en del legitima användarbidrag. Den korrekta lösningen är att använda HTML-entiteter för att koda data som användaren skickat in. med HTML-entitetsmoduler aktiverade kodas tecken automatiskt till ett format där webbläsaren vet att de ska visas som de korrekta symbolerna men inte behandla dem som kod.
Annonser kan vara användbara eftersom de informerar dig om erbjudanden och tjänster du kan behöva. Men de kan bli ohanterliga och bli irriterande. Det är då du vänder dig till annonsblockerare. Lär dig hur du konfigurerar Ad-Blocker i Opera för Android med dessa steg.
Lär dig hur man markerar eller framhäver viss text i dina Google Docs-dokument med hjälp av dessa steg för din dator, smartphone eller surfplatta.
Webbläsaren Google Chrome erbjuder ett sätt för dig att ändra de typsnitt den använder. Lär dig hur du ställer in typsnittet på det du vill.
Lär dig hur du markerar text med färg i Google Slides-appen med denna steg-för-steg-guide för mobil och dator.
Se hur du kan identifiera en specifik färg med ett integrerat verktyg i Firefox utan att använda tredjepartsprogram.
Du kan hitta flera tillägg för Gmail för att göra din hantering av e-post mer produktiv. Här är de bästa Gmail Chrome-tilläggen.
Se hur enkelt det är att lägga till ett ord eller ett annat språk i Firefox stavningskontroll. Se också hur du kan stänga av stavningskontroll för webbläsaren.
Se vilka steg du ska följa för att snabbt stänga av Google Assistant. Känn dig mindre övervakad och inaktivera Google Assistant.
Dina Facebook-vänner kan se alla kommentarer du skriver på offentliga inlägg. Facebook-kommentarer har inga individuella sekretessinställningar.
Att veta hur du ändrar Facebooks integritetsinställningar på en telefon eller tablet gör det enklare att hantera ditt konto.
