Средства контроля, которые компания внедряет для защиты своих активов и соответствия стандартам, установленным третьей стороной в качестве передовой практики.
Межсайтовый скриптинг (XSS) — это эксплойт безопасности, который позволяет злоумышленнику внедрить на веб-сайт вредоносный клиентский код. Этот код выполняется жертвами и позволяет злоумышленникам обходить контроль доступа и выдавать себя за пользователей.
Эти атаки успешны, если веб-приложение не использует достаточную проверку или кодирование. Браузер пользователя не может определить, что вредоносный сценарий не заслуживает доверия, и поэтому предоставляет ему доступ к любым файлам cookie, маркерам сеанса или другой конфиденциальной информации, относящейся к конкретному сайту.
XSS-атаки можно разделить на три категории: сохраненные (также называемые постоянными), отраженные (также называемые непостоянными) и основанные на DOM.
Сохраненные XSS-атаки
Внедренный скрипт постоянно хранится на целевых серверах. Затем жертва извлекает этот вредоносный скрипт с сервера, когда браузер отправляет запрос данных.
Отраженные XSS-атаки
Когда пользователя обманом заставляют щелкнуть вредоносную ссылку, отправить специально созданную форму или перейти на вредоносный сайт, внедренный код перемещается на уязвимый веб-сайт. Веб-сервер отражает введенный сценарий обратно в браузер пользователя, например, в сообщении об ошибке, результатах поиска или любом другом ответе, который включает данные, отправленные на сервер как часть запроса.
XSS-атаки на основе DOM
Полезная нагрузка выполняется в результате изменения среды DOM (в браузере жертвы), используемой исходным скриптом на стороне клиента. То есть сама страница не меняется, но код на стороне клиента, содержащийся на странице, запускается неожиданным образом из-за злонамеренных изменений в среде DOM.
