Jaka jest różnica między XSS opartym na DOM a odzwierciedleniem XSS?
Spisu treści:
ten główna różnica między XSS opartym na DOM a odbitym XSS jest to, że XSS oparty na modelu DOM to rodzaj XSS, który przetwarza dane z niezaufanego źródła, zapisując dane do potencjalnie niebezpiecznego ujścia w DOM. Jednak odbity XSS jest typem XSS, który występuje, gdy aplikacja uzyskuje dane w żądaniu HTTP i dołącza je do natychmiastowej odpowiedzi w niebezpieczny sposób.
Ogólnie rzecz biorąc, XSS oznacza Cross-Site Scripting, który jest powszechnym atakiem na witryny internetowe. Może wykraść dane dotyczące plików cookie użytkowników witryny. Może również zmieniać ustawienia użytkownika i wyświetlać różne pobrania złośliwego oprogramowania. Co więcej, atakujący może również przeprowadzać ataki phishingowe. Ogólnie rzecz biorąc, wspólnym językiem do pisania kodu XSS jest JavaScript. Ogólnie rzecz biorąc, istnieją różne typy ataków XSS, a dwa z nich to XSS oparty na DOM i XSS odbity.
Cookie, XSS oparty na DOM, nietrwały XSS, odbity XSS, XSS
Czym jest XSS oparty na DOM
XSS oparty na DOM to zaawansowany atak XSS. Tutaj aplikacja internetowa odczytuje dane z DOM i wysyła je do przeglądarki. Co więcej, jeśli w przypadku nieprawidłowej obsługi danych, atakujący może wstrzyknąć ładunek do przechowywania w ramach DOM.
Ogólnie rzecz biorąc, ataki XSS oparte na modelu DOM są atakami po stronie klienta. W tych atakach złośliwy ładunek nie trafi na serwer. Zapory aplikacji internetowych (WAF) i mechanizmy zabezpieczeń mają trudności z ich wykryciem, ponieważ w dziennikach serwera nie ma żadnych wpisów.
Co to jest odbicie XSS
Odbity XSS lub Nietrwały XSS to rodzaj XSS. W tym typie ładunek atakującego staje się częścią żądania, które trafia do serwera WWW. Następnie jest to odzwierciedlane w taki sposób, że odpowiedź HTTP zawiera ładunek z żądania HTTP. Atakujący może użyć złośliwych linków, wiadomości phishingowych itp., aby zmusić użytkowników do wysyłania żądań do serwera. Wreszcie odbity ładunek XSS jest wykonywany w przeglądarce użytkownika. Ponieważ odzwierciedlenie XSS nie jest ciągłym atakiem, atakujący musi dostarczyć ładunek każdej ofierze.
Różnica między XSS opartym na DOM a XSS odbitym
Definicja
XSS oparty na modelu DOM to zaawansowany typ XSS, który występuje poprzez zapisywanie danych w modelu DOM (Document Object Model). Jednak odbity XSS jest drugim i najczęstszym typem XSS, w którym ładunek atakującego jest częścią żądania wysyłanego do serwera WWW.
Funkcjonalność
XSS oparty na modelu DOM polega na przetwarzaniu danych z niezaufanego źródła poprzez zapisywanie danych do potencjalnie niebezpiecznego ujścia w modelu DOM, ale odbity XSS występuje, gdy aplikacja otrzymuje dane w żądaniu HTTP i dołącza je do natychmiastowej odpowiedzi w niebezpieczny sposób. Jest to więc główna różnica między XSS opartym na DOM a odbijanym XSS.
Złożoność
Co więcej, ataki XSS oparte na DOM są bardziej złożone niż ataki odbite XSS. Jest to więc kolejna różnica między XSS opartym na DOM a odbijanym XSS.
Wniosek
W skrócie, dwa rodzaje ataków XSS to XSS oparty na modelu DOM i Reflected XSS. Główną różnicą między XSS opartym na DOM a Reflected XSS jest ich funkcjonalność. XSS oparty na modelu DOM to rodzaj XSS, który przetwarza dane z niezaufanego źródła, zapisując dane do potencjalnie niebezpiecznego ujścia w DOM. Ale z drugiej strony odbity XSS jest typem XSS, który występuje, gdy aplikacja uzyskuje dane w żądaniu HTTP i włącza te dane do natychmiastowej odpowiedzi w niebezpieczny sposób.
Bibliografia:
1. „Rodzaje XSS (Cross-Site Scripting)” Acunetix, dostępny tutaj.
Zdjęcie dzięki uprzejmości:
1.”Cross-Site Scripting (XSS)” Autor: Batka savemazaalai - Praca własna (CC BY-SA 4.0) przez Commons Wikimedia
