• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Cross-site scripting



    Podstrony: 1 [2] [3] [4]
    Przeczytaj także...
    Cross-site request forgery (w skrócie CSRF lub XSRF) to metoda ataku na serwis internetowy, która często (m.in. na skutek jednoczesnego wykorzystania) mylona jest z cross-site scripting (XSS) bądź jest uznawana za jej podzbiór. Ofiarami CSRF stają się użytkownicy nieświadomie przesyłający do serwera żądania spreparowane przez osoby o wrogich zamiarach. W przeciwieństwie do XSS, ataki te nie są wymierzone w strony internetowe i nie muszą powodować zmiany ich treści. Celem hakera jest wykorzystanie uprawnień ofiary do wykonania operacji w przeciwnym razie wymagających jej zgody. Błąd typu CSRF dotyczy również serwerów FTP.Aplikacja internetowa, (ang.) web application – zwana również aplikacją webową, to program komputerowy, który pracuje na serwerze i komunikuje się poprzez sieć komputerową z hostem użytkownika komputera z wykorzystaniem przeglądarki internetowej użytkownika, będącego w takim przypadku interaktywnym klientem aplikacji internetowej.

    Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

    Domena internetowa – zbiór nazw systemu nazw DNS wykorzystywanego w Internecie, składający się z nazw umieszczonych w pewnym poddrzewie struktury DNS tj. zakończonych stałym sufiksem (np. ".wikipedia.org").HTML (ang. HyperText Markup Language) – hipertekstowy język znaczników, obecnie szeroko wykorzystywany do tworzenia stron internetowych.

    Mechanizm działania[ | edytuj kod]

    Przeglądarki internetowe udostępniają skryptom jedynie te obiekty, które pochodzą z tego samego źródła, co strona, w której kontekście dany skrypt się wykonuje. Posługują się przy tym zasadą tożsamego pochodzenia (ang. same origin policy), która zezwala na dostęp do zasobów stron, których adres wyróżnia się takim samym protokołem, nazwą domeny serwera i numerem portu. Poniższa tabela podaje kilka przykładów stron wraz z informacją, czy ich pochodzenie jest zgodne z adresem "http://www.example.com/dir/page.html".

    Konto Microsoft (dawniej Windows Live ID, jeszcze dawniej Microsoft Passport lub .NET Passport) – usługa sieciowa firmy Microsoft, zapewniająca jednorazową identyfikację przy pojedynczym logowaniu i przeprowadzanie bezpiecznych operacji, w tym handlowych i finansowych. Identyfikatory, hasła, numery kart kredytowych, informacje o wysyłce i rachunkach użytkownika są przechowywane na serwerach Microsoftu, co umożliwia dokonywanie zakupów i innych usług bez wielokrotnego logowania się w różnych serwisach kompatybilnych z .NET Passport. Oparty na serwerze system zastąpił wcześniejszy Microsoft Wallet wbudowany w Internet Explorera. Część funkcji witryny Microsoftu korzysta z usług .NET Passport, tak samo jest z wszystkimi usługami Windows Live. Konto Microsoft można połączyć z kontem użytkownika Windows 8 oraz Skype. W związku z wprowadzeniem systemu Windows 8, Microsoft zmienił nazwę usługi z Windows Live ID na Konto Microsoft (ang. Microsoft Account)Uwierzytelnianie (ang. authentication) – proces polegający na potwierdzeniu zadeklarowanej tożsamości podmiotu biorącego udział w procesie komunikacji. Celem uwierzytelniania jest uzyskanie określonego poziomu pewności, że dany podmiot jest w rzeczywistości tym, za który się podaje. Spotykane są niepoprawne warianty: autentykacja, autentyfikacja.

    Obostrzenia w dostępie są szczególnie istotne w przypadku ciasteczek, które bardzo często wykorzystywane są do utrwalenia uwierzytelnienia. Jeśli kod napastnika znajdzie się w treści atakowanego serwisu, posiądzie nie tylko możliwość zmodyfikowania wyglądu tej strony, ale również pozyskania i przesłania (patrz XMLHTTP) innym potencjalnie istotnych danych. Gdyby ten sam kod został umieszczony na innej stronie, przeglądarka ofiary odmówiłaby mu dostępu do zasobów związanych z atakowaną witryną.

    JavaScript, JS – skryptowy język programowania, stworzony przez firmę Netscape, najczęściej stosowany na stronach internetowych. Pod koniec lat 90. XX wieku organizacja ECMA wydała na podstawie JavaScriptu standard języka skryptowego o nazwie ECMAScript. Głównym autorem JavaScriptu jest Brendan Eich.Hotmail – należący do Microsoftu serwis internetowy oferujący darmowe konta poczty elektronicznej dostępne przez webmail, obecnie zastąpiony przez Outlook.com.


    Podstrony: 1 [2] [3] [4]




    Warto wiedzieć że... beta

    Protokół komunikacyjny to zbiór ścisłych reguł i kroków postępowania, które są automatycznie wykonywane przez urządzenia komunikacyjne w celu nawiązania łączności i wymiany danych.
    SQL Injection (z ang., dosłownie zastrzyk SQL) – luka w zabezpieczeniach aplikacji internetowych polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (MySQL, PostgreSQL itp.). Wynika on zwykle z braku doświadczenia lub wyobraźni programisty.
    Myspace – serwis społeczności internetowej założony w 2003 roku przez Toma Andersona i Chrisa DeWolfe’a, będący do 15 czerwca 2009 na 11. miejscu wśród najbardziej popularnych stron WWW w Internecie.
    XMLHttpRequest (XHR) – obiekt języków skryptowych (np. JavaScript, JScript lub VBScript) przeglądarek internetowych umożliwiający wykonywanie żądań do serwera WWW za pomocą protokołu HTTP.
    Google Inc. NASDAQ: GOOG – amerykańskie przedsiębiorstwo z branży internetowej. Jego flagowym produktem jest wyszukiwarka Google, a deklarowaną misją - skatalogowanie światowych zasobów informacji i uczynienie ich powszechnie dostępnymi i użytecznymi.
    Ciasteczko (formalnie HTTP Cookie, w skrócie ang. cookie, tłumaczone czasem jako plik cookie) – mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę. Używane jest głównie do utrzymywania sesji np. poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu. Może być jednak wykorzystywane szerzej poprzez zapamiętanie dowolnych danych, które można zakodować jako ciąg znaków. Dzięki temu użytkownik nie musi wpisywać tych samych informacji za każdym razem, gdy powróci na tę stronę lub przejdzie z jednej strony na inną.
    Phishing (spoofing) – w branży komputerowej, wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.

    Reklama

    Czas generowania strony: 0.626 sek.