Owasp top 10 Security Risks & Vulnerabilities Note



Download 0,68 Mb.
bet24/36
Sana08.01.2022
Hajmi0,68 Mb.
#333055
1   ...   20   21   22   23   24   25   26   27   ...   36

Types of XSS


According to the OWASP Top 10, there are three types of cross-site scripting

ross Site Scripting (XSS) ko'plab veb-ilovalarga ta'sir qiladigan keng tarqalgan zaiflikdir. XSS hujumlari veb-saytga zararli mijoz skriptlarini kiritish va veb-saytni tarqatish usuli sifatida foydalanishdan iborat. XSS ning xavf-xatarlari shundaki, u tajovuzkorga veb-saytga tarkibni kiritish va uning ko'rsatilishini o'zgartirish imkonini beradi, bu esa jabrlanuvchining brauzerini sahifani yuklashda tajovuzkor tomonidan taqdim etilgan kodni bajarishga majbur qiladi. XSS barcha ilovalarning uchdan ikki qismida mavjud. Umuman olganda, XSS zaifliklari foydalanuvchining ijtimoiy muhandislik yoki ma'lum bir sahifaga tashrif buyurish orqali qandaydir o'zaro ta'sirini talab qiladi. Agar XSS zaifligi tuzatilmagan bo'lsa, u har qanday veb-sayt uchun juda xavfli bo'lishi mumkin. XSS zaifliklariga misollar Tasavvur qiling-a, siz WordPress wp-admin panelida yangi post qo'shyapsiz. Agar siz xakerlar tomonidan foydalaniladigan saqlangan XSS zaifligiga ega plagindan foydalanayotgan bo‘lsangiz, u wp-admin panelida bo‘lganingizda brauzeringizni yangi administrator foydalanuvchi yaratishga majbur qilishi yoki postni tahrirlashi va shunga o‘xshash boshqa amallarni bajarishi mumkin. . XSS zaifligi tajovuzkorga bugungi kunda kompyuterlarning eng muhim dasturiy ta'minotini, ya'ni brauzerlarni deyarli to'liq boshqarish imkonini beradi. 2017 yilda bizning tadqiqot guruhimiz WordPress veb-saytlarining yadrosida saqlangan XSS zaifligini oshkor qildi. Masofaviy tajovuzkorlar ushbu zaiflikdan WordPress saytidagi tasodifiy postni buzish va unda zararli JavaScript kodini saqlash uchun foydalanishi mumkin. XSS turlari OWASP Top 10 ga ko'ra, saytlararo skriptlarning uchta turi mavjud



  • Reflected XSS: The application or API includes unvalidated and unescaped user input as part of HTML output. A successful attack can allow the attacker to execute arbitrary HTML and JavaScript in the victim’s browser. Typically the user will need to interact with some malicious link that points to an attacker-controlled page, such as malicious watering hole websites, advertisements, or similar.

  • Stored XSS: The application or API stores unsanitized user input that is viewed at a later time by another user or an administrator. Stored XSS is often considered high or critical risk.

  • DOM XSS: JavaScript frameworks, single-page applications, and APIs that dynamically include attacker-controllable data to a page are vulnerable to DOM XSS. Ideally, the application would not send attacker-controllable data to unsafe JavaScript APIs. Typical XSS attacks include session stealing, account takeover, MFA bypass, DOM-node replacement or defacement (such as Trojan login panels), attacks against the user’s browser such as malicious software downloads, keylogging, and other client-side attacks.


Download 0,68 Mb.

Do'stlaringiz bilan baham:
1   ...   20   21   22   23   24   25   26   27   ...   36




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish