📜Что такое XSS атака и чем она опасна? В Википедии дано такое описание:
XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.
Это одно из самых распространенных уязвимостей в web-приложениях.
XSS уязвимость позволяет хакерам внедрить вредоносный код на страницу и отправить его обратно в браузер пользователя, где этот код будет выполнен.
XSS очень опасен: хакеры могут похитить учетные данные администраторов сайтов и захватить над ними контроль.
Злоумышленники используют уязвимость в четырех целях:
• Изменение настроек;
• Кража cookie-файлов;
• Размещение рекламы с вирусами;
• Хищение токенов форм для проведения CSRF атак.
Есть 5 правил защиты сайтов от XSS атак:
1. Защита функцией htmlspecialchars().
Данная функция преобразует переданный ей аргумент в HTML-сущности, причем происходит преобразование именно тех символов, которые являются потенциально небезопасными.
2. Защита функцией striptags().
В отличие от htmlspecialchars() данная функция удаляет из строки аргумента только сами теги, причем второй аргумент служит для указания исключений, которые не нужно удалять.
3. BB-коды.
Пропуск только определенных тегов, иногда совсем в иной форме, чем позволяют стандарты HTML
4. Регулярные выражения.
Кто-то регулярки любит, кто-то нет, а кто-то даже предпочитает написать свою собственную, через которую не проходят потенциально опасные символы или теги. Удобно в случае исключения аргументов из внедряемого тега без изменения HTML-сущности оставшейся части.
5. Самописные функции.
Всевозможные рекурсивные парсеры строк, которые очень гибко борются с XSS, также довольно популярны. Хотя в самописных функциях гораздо чаще можно найти какую-либо уязвимость.
↪️ @XAKEPCTBO\_CHANNEL