Machine Translated by Google

- Saqlangan XSS (oldingi misol)
- aks ettirilgan XSS
1) Saqlangan XSS, har doim skript server ma'lumotlar bazasida
doimiy saqlangan va oldingi misolda ko'rsatilganidek, ko'plab mijozlar
tomonidan boshqarilsa.
2) aks ettirilgan XSS, biroz murakkabroq, qachonki skript
saqlanmasa, lekin bitta mijozga yuboriladi.
XSS ning ikkita asosiy turi mavjud:
Saytlararo skript
•
Ikki turdagi XSS:
Machine Translated by Google

Saytlararo skript
•
Standart qiymat “1234567” GET parametridir
•
aks ettirilgan XSS misoli
•
Veb-sahifada standart qiymatga ega tahrirlash
maydoni ko‘rsatiladi:
CC:
1234567
https://www.creditcards.com?CC=1234567
Machine Translated by Google

– Serverda (www.creditcards.com):
– Buzg‘unchi foydalanuvchini (elektron pochta orqali yoki boshqa
nazorat qilinadigan sayt orqali) havolaga o‘tish uchun aldaydi:
- Olingan HTML quyidagicha bo'ladi:
_GET["CC"] .
"'>";

value=''>''>
echo
"'
Saytlararo skript
Aytaylik, tajovuzkor foydalanuvchini ma'lum bir URL manziliga rioya
qilishga undaydi. Bu oddiy elektron pochta orqali yoki hatto tajovuzkor
tomonidan boshqariladigan sayt orqali amalga oshirilishi mumkin. URLda
HTML Injection hujumi va ba'zi zararli kodlar mavjud. Sayt dinamik HTML-
sahifani yaratadi, unda hozirda
Yuqoridagi misol aks ettirilgan XSS qanday ishlashini ko'rsatadi.
E'tibor bering, natijada olingan HTMLning yakuniy "''>" belgilari
HTML sintaksisi tolerantligi uchun brauzer tomonidan e'tiborga olinmaydi.
zararli skript va uni skriptni boshqaradigan foydalanuvchiga yuboradi.
www.creditcards.com serveri kiritish maydoniga ega dinamik HTML
sahifasini yaratadi. Bunday kiritish maydonining mazmuni mijoz tomonidan
GET parametri bilan belgilanishi mumkin. Dinamik HTML kodining
konstruktsiyasida HTML Injection nuqsoni mavjudligini unutmang.
•
aks ettirilgan XSS:
Machine Translated by Google