Cross-site scripting (XSS) və ya saytlararası skript, veb sayt istifadəçilərinin brauzerlərinə zərərli skriptlər yerləşdirmək üçün istifadə olunan bir kompüter təhlükəsizliyi zəifliyidir. Bu zəiflik, veb tətbiqlərinin istifadəçi tərəfindən daxil edilmiş məlumatları düzgün təmizləməməsi və ya təsdiq etməməsi nəticəsində yaranır.
İzah:
XSS hücumlarında, hücumçu zərərli skriptləri veb saytına yerləşdirərək, saytın digər istifadəçilərinin brauzerlərində bu skriptlərin icrasını təmin edir. Bu skriptlər, istifadəçinin kompüterindəki məlumatlara giriş əldə etmək, cookie-ləri oğurlamaq, saytın funksiyalarını pozmaq və ya digər zərərli əməliyyatlar həyata keçirmək üçün istifadə oluna bilər.
Hücum növləri:
- Saxlanılan XSS (Stored XSS): Zərərli skript veb serverdə saxlanılır və saytın digər istifadəçilərinə göstərildikdə icra olunur (məsələn, forumlarda, qonaq dəftərlərində).
- Əks olunan XSS (Reflected XSS): Zərərli skript veb saytına istifadəçi tərəfindən göndərilir və sayt tərəfindən istifadəçiyə geri qaytarılır. Bu, adətən, axtarış nəticələrində və ya URL-lərdə olur.
- DOM Based XSS: Zərərli skript müştəri tərəfində, brauzerin DOM (Document Object Model) manipulyasiyası vasitəsi ilə icra olunur. Server tərəfindən heç bir manipulyasiya edilmir.
Təhlükəsizlik tədbirləri:
- Daxil olan bütün məlumatların təmizlənməsi və təsdiqi.
- Parametrlərin və giriş sahələrinin düzgün təsdiqi.
- HTTPOnly atributu ilə cookie-lərin qorunması.
- Content Security Policy (CSP) istifadəsi.
- Təhlükəsizlik duvarlarının tətbiqi.
İstifadə sahələri:
XSS, əsasən, kompüter təhlükəsizliyi, veb inkişafı və şəbəkə təhlükəsizliyi sahələrində istifadə olunan bir termindir. Həmçinin, proqram təminatı təhlükəsizliyi auditləri və penetrasiya testləri zamanı geniş istifadə olunur.