XSS (Cross-Site Scripting - межсайтовый скриптинг) - популярный тип веб-атаки, который заключается в том, что на страницу сайта или приложения внедряется вредоносный код. Если пользователь открывает зараженную страницу, скрипт, который внедрили, влияет на компьютер пользователя. Действуют правила ограничения доменного имени, то есть вредоносный код работает в пределах одного зараженного сайта, не вредя другим сайтам на сервере. Для сервера XSS опасности не представляет. Виды xss: Активные. Как только пользователь заходит на страницу, которую заразили, автоматически запускается вредный скрипт. Пассивные. В случае пассивной xss, для запуска вредоносного кода пользователь должен, например, кликнуть ссылку. Причины внедрения вредоносного кода: Ошибки в обозревателе интернета Отсутствие экранирования Подмена кодировки в заголовке страницы SiXSS (межсайтовый скриптинг при наличии SQL-инъекции) Последствия xss атаки: Кража пользовательских данных Получение доступа к панели управления сайтом Проверять на наличие xss уязвимости рекомендуется скриптом: Code: <script>alert(xss уязвимость)</script> Источник: https://hackmode.ru/showthread.php?t=82
