XSSについて:
XSS(クロスサイトスクリプティング)、およびでないために、カスケーディングスタイルシートの略語(カスケーディング・スタイル・シート)混乱、クロスサイトスクリプティング攻撃はXSSに変更略し。XSSはそう、コードインジェクションは、ユーザの訪問ページ、Webページのコードに悪意のあるスクリプトを挿入する悪意のある攻撃者で、埋め込まれたスクリプトコードが実行される、Webアプリケーションのための技術をセキュリティ悪用しています悪意のあるユーザーの目的。攻撃が成功した後、悪意のあるユーザーは、より高い権威、その上のコンテンツ、プライバシーページのコンテンツ、セッションとクッキーの多様性を得ることができます。
XSS攻撃カテゴリ:
1.反射XSS
も非永続的XSSとして知られている反射XSSのタイプ、このような攻撃は、多くの場合、使い捨て持っています。
攻撃:攻撃者は、ターゲットユーザーに電子メールなどの悪質なリンクを介してXSSのコードが含まれて送信されます。ユーザーがリンクにアクセスすると、ターゲット・サーバは、ユーザの要求を受信し、処理し、その後、サーバーは、ユーザーのブラウザとターゲット・コード・XSSにデータを送信し、このブラウザはXSSと悪質なスクリプトコードを解析し、それこれは、XSSの脆弱性をトリガーします。
2.ストレージ・タイプのXSS
も永続的なXSS型のXSSとして知られているストレージタイプは、攻撃スクリプトは、恒久的に高い秘密とターゲット・サーバーのデータベースやファイルに保存されます。
攻撃:この攻撃は、フォーラム、ブログや掲示板でより一般的です。ポストがサーバダウンに格納されているように、攻撃者を掲示する過程で、悪意のあるスクリプトは、一緒にポストの通常の情報コンテンツと一緒に注入し、悪意のあるスクリプトは、恒久的に、バックエンド・ストレージ・サーバに格納することができます。他の閲覧ユーザーが悪意のあるスクリプトの記事を注射した場合には、悪質なスクリプトが、ブラウザで実行されます。
3. DOM型XSS
DOMは、ドキュメントオブジェクトモデルの略で、DOM XSSの種類は、実際に反射XSSの特殊なタイプです、それはDOMを使用して、脆弱性のDOMドキュメントのモデルに基づいて動的にアクセスおよび更新文書にプログラムやスクリプトを可能にコンテンツ、構造およびスタイル。
攻撃:ユーザーが特別に設計されたURLを要求した後、それを攻撃者が提出した、そしてそれは、サーバからのXSSコード応答がどのような形態で、攻撃者のスクリプトが含まれていませんが含まれています。ユーザのブラウザは、応答を処理する際に、オブジェクトのDOM XSSコードは、XSS脆弱性の存在下で得られ、処理されます。
