- XSS (Cross-site scripting) — уязвимость в web-приложениях, позволяющая внедрить вредоносный скрипт на страницу.
- Скрипт может украсть данные пользователей, такие как куки, сессионные токены и логины с паролями.
- Сохраняемый XSS: вредоносный скрипт сохраняется в БД и запускается у клиента.
- Отраженный XSS: скрипт передается через URL и добавляется в тело ответа.
- XSS на основе DOM: скрипт внедряется в DOM дерево во время работы JS.
- Скрипт сохраняется в БД и запускается у всех пользователей, посетивших страницу.
- Пример: злоумышленник добавляет отзыв с вредоносным скриптом в раздел отзывов.
- Скрипт передается через ссылку, добавляется в HTML и запускается у жертвы.
- Пример: скрипт добавляется в query параметры ссылки и попадает на страницу.
- Скрипт внедряется в DOM дерево во время работы JS.
- Пример: скрипт запускается у клиента после загрузки страницы.
- Современные браузеры улучшают безопасность с помощью SOP и CSP.
- Валидация входных данных также помогает предотвратить XSS атаки.
- XSS уязвимости все еще возможны, несмотря на меры безопасности.
- Важно знать о типах XSS атак и их особенностях для предотвращения компрометации данных.
- Банк решил добавить поиск по разделу для удобства клиентов.
- Функция updateSearchQueryParam записывает параметры поиска в query параметр.
- Функция updateSearchSubtitle отображает параметры поиска при загрузке страницы.
- В реализацию пробралась уязвимость, позволяющая передавать скрипты через query параметр.
- Уязвимость можно отследить на стороне сервера, если писать логи запросов.
- В некоторых случаях скрипт не покидает границ браузера, например, при работе с hash параметром.
- mXSS (XSS с мутациями) использует механизм очистки браузера для создания валидного скрипта.
- Blind XSS (Слепая XSS) запускается через форму обратной связи, может быть в другом приложении.
- Self XSS (Self XSS) требует от жертвы запуска вредоносного скрипта в консоли браузера.
#xss #redteam #privacy #hack
https://habr.com/ru/companies/alfa/articles/717896/
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
XSS атакует! Краткий обзор XSS уязвимостей
Всем привет! В данной статья я хочу рассказать про XSS уязвимости, какие они бывают и откуда их можно ждать. Сразу хочу сказать, что статья предназначена скорее для новичков...
| Привет, друг. На связи Эллиот.После того как Grok-4 удалось взломать за два дня, GPT-5 пала всего за 24 часа под натиском тех же исследователей.
Почти одновременно команда тестировщиков SPLX заявила:
«Сырой GPT-5 практически непригоден для корпоративного применения "из коробки". Даже встроенные фильтры OpenAI оставляют заметные пробелы, особенно в части бизнес-ориентации».
- NeuralTrust применила собственную технику EchoChamber в сочетании с приёмом «рассказа историй». Так им удалось заставить модель пошагово описать процесс изготовления коктейля Молотова.
#News #GPT #AI #Hack #Vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
90% успеха против ChatGPT — хакеры нашли способ получать любой запрещенный контент
Теперь чат-ботов можно легко развести на ненависть, насилие и прочие радости жизни.