XSShyökkäys - Infinite Lexicon - Infinite Lexicon

XSShyökkäys

XSShyökkäys, eli Cross-Site Scripting (XSS) hyökkäys, on eräs yleisimmistä web-sovellusten tietoturvahaavoittuvuuksista. Se hyödyntää sitä, että web-sovellus ei asianmukaisesti validoi tai puhdista käyttäjältä saamaansa syötettä. Hyökkääjä voi tällöin syöttää haitallista skriptikoodia, useimmiten JavaScriptiä, sovelluksen sisään. Kun tämä koodi suoritetaan toisen käyttäjän selaimessa, hyökkääjä voi saada pääsyn käyttäjän sessiotietoihin, kuten evästeisiin, tai suorittaa toimintoja käyttäjän puolesta.

XSS-hyökkäyksiä on olemassa useita tyyppejä. Persistentti (pysyvä) XSS tallentaa haitallisen skriptin palvelimelle, esimerkiksi tietokantaan, ja se

XSS-hyökkäysten torjumiseksi kehittäjien tulee aina validoida ja puhdistaa kaikki käyttäjältä tuleva syöte. Myös selaimen tarjoamien tietoturvaominaisuuksien,

käyttäjälle.

URL-osoitteeseen,

non-persistent,

dokumenttiobjektimallia

haavoittuvuuksien

hyväksikäyttöön.

turvallisuuspolitiikan

vähentämään

hyökkäysriskiä.

epäilyttäviä