В предыдущей статье мы узнали об ошибках XSS (межсайтовый скриптинг) и фактическом использовании XSS Reflected. Есть еще один тип XSS, который считается более опасным: хранимый XSS.
В отличие от Reflected, который напрямую атакует несколько жертв, ставших жертвами хакеров, Stored XSS нацелен на большее количество жертв. Эта ошибка возникает, когда веб-приложение не проверяет тщательно входные данные перед сохранением их в базу данных (здесь я использую это понятие для обозначения базы данных, файла или других областей, в которых хранятся данные приложения.web).
Используя технику Stored XSS, хакеры не используют ее напрямую, а должны сделать это как минимум в два этапа.
Во-первых, хакеры используют нефильтрованные точки ввода (форма, ввод, текстовая область...) для вставки опасного кода в базу данных.
Далее, когда пользователь обращается к веб-приложению и выполняет операции, связанные с этими сохраненными данными, хакерский код будет выполнен в браузере пользователя.
На данный момент хакер, похоже, добился своей цели. По этой причине метод Stored XSS также называют XSS второго порядка.
Сценарий эксплуатации описывается следующим образом:
Отраженный XSS и сохраненный XSS имеют два основных различия в процессе атаки.
Из всего этого видно, что сохраненный XSS гораздо более опасен, чем отраженный XSS, затронутыми субъектами могут быть все пользователи этого веб-приложения. А если жертва выполняет административную роль, также существует риск веб-взлома.
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
