Почему нельзя тыкать где ни попадя или XSS инъекции (Межсайтовый скриптинг)

Почему нельзя тыкать где ни попадя или XSS инъекции (Межсайтовый скриптинг)

XSS

Я многократно предупреждал всех читателей данной соц. сети о том, что не в коем случае нельзя переходить по незнакомым вам ссылкам или ссылкам из незнакомых вам источников. Но такие статьи как правило скучные и неинтересные, их мало кто читает до конца.

Хакер может сделать ссылку, в которую будет встроен исполняемый код. Этот код будет содержаться В САМОЙ ССЫЛКЕ, и выполнятся НА ВАШЕМ КОМПЬЮТЕРЕ сразу, как только вы нажмете на такую ссылку. Выполнять будет его ваш любимый браузер, или браузер по умолчанию, ПРЯМО НА ВАШЕМ КОМПЬЮТЕРЕ, потому что этот код будет написан на JavaScript, который выполняется браузером на стороне клиента.

Какую информацию может получить хакер таким образом? Да любую, друзья мои. Все что вы когда либо вводили в ваш браузер. Все логины и пароли ко всем социальным сетям, в которых вы зарегистрированы, логин и пароль к вашей почте, логины и пароли к вашим мессенждерам, и даже к вашим электронным кошелькам. JavaScript выполнит код за долю секунды, отсылая инфу хакеру, а вы об этом даже не узнаете. Не будет никакой задержки, никакого зависания компьютера. Вы как обычно перейдете по ссылке и скорее всего увидите там даже ту инфу, которую вы расчитывали получить.

Внедрённый код умеет всё то, что умеет JavaScript, а именно:

  • получает доступ к кукам из просматриваемого сайта
  • может вносить любые изменения во внешний вид страницы
  • получает доступ к буферу обмена
  • может внедрять программы на JavaScript, например, ки-логеры (перехватчики нажатых клавиш)
  • подцеплять на BeEF
  • и др.
+1
17:15
RSS
Нет комментариев. Ваш будет первым!