Informații - diferența xss și csrf și principiul acțiunii, cercetarea și discuțiile în domeniul apărării ru-sferei

Vreau să ridic un subiect de protecție de la XSS și CSRF și, de asemenea, ceea ce este.

Este clar că webmasterul trebuie să protejeze împotriva acestor atacuri. acolo de filtrare a datelor, de configurare a serverului și altele, dar cu toate acestea, utilizatorul nu este, de asemenea, rău să se gândească la protecție, la fel, aceste atacuri merg la utilizator, nu la server sau script.

XSS (Scripting în engleză)
Acest atac utilizează vulnerabilități cunoscute în aplicații web, servere (sau în plugin-uri de sistem legate de acestea).

Semnificația acestui atac este de a încorpora codul rău intenționat și de ao executa de la victimă, astfel încât să puteți fura cookie-urile, să rulați CSRF (a se vedea mai jos).

Toate atacurile XSS sunt destul de extinsă, nu are nici un sens să le ia în considerare aici, pentru că puteți citi în același wiki, trebuie să înțelegeți că XSS - Este codul și executarea sa de victimă, de exemplu, încorporarea:

În cazul în care victima face clic pe link-ul, atunci va exista o contaminare a site-ului vulnerabil, pot fi, de asemenea permanent XSS, care nu au nevoie să faceți clic pe nimic, și doar du-te la site-ul afectat.

Să luăm acum în considerare termenul CSFR:

CSRF (Falsificarea cererii de site-uri web în limba engleză - "Forgery Cross-Site Request", cunoscută și sub numele de XSRF)

Ideea este că, în numele utilizatorului, efectuați orice acțiune.

Din păcate, puține site-uri sunt protejate de astfel de atacuri, dar acest lucru nu este XSS, deși CSFR este adesea folosit pentru operarea XSS, de exemplu:

De exemplu, dacă XSS este găsit aici pe forum, puteți crea subiecte, corespondențe etc. prin acest XSS în numele victimei.

De exemplu, utilizatorul Alice poate vizualiza forumul unde un alt utilizator, Mallory, a postat mesajul.

Lăsați Mallory să creeze o etichetă , în care sursa imaginii este URL-ul, atunci când navighezi, acțiunea este efectuată pe site-ul web al Alice Bank, de exemplu:

4) Actualizați în mod constant browserele și pluginurile, în special ca Adobe, deoarece XSS poate fi în browsere. ;