Детальная информация
При открытии пользователем страницы, подвергшейся атаке XSS, код будет выполнен. Внедренный код взаимодействует с веб-сервером злоумышленника, с которого осуществилась атака. В итоге данные пользователя становятся доступны для злоумышленников. Атака XSS с внедрением вредоносного кода возможна из-за уязвимости как веб-сервера, так из-за уязвимости на компьютере пользователей.
В рейтинге главных рисков у Web-приложений XSS занимает третье место. В течении продолжительного времени программисты не относились к атакам XSS с должным вниманием, не считая их особо опасными. Но такая позиция является ошибочной, ведь злоумышленник с помощью XSS может получить доступ к таким важным данным пользователя, как идентификатор сессии администратора или номера платежных документов, используя их для проведения операций как бы от лица настоящего пользователя.
Межсайтовый скриптинг XSS известен с середины девяностых годов. От него в прошлом пострадали даже известные социальные сети, например, ВКонтакте.
До сих пор нет законченной классификации межсайтового скриптинга. Эксперты выделяют следующие типы XSS: «отраженные» и «хранимые», а также классифицируют по каналам внедрения скрипта, по способу воздействия.