XSS уязвимости, полный курс в несколько статей.№2

     Данная уязвимость делится на два вида:

1. Пассивная
2. Активная 

     Наиболее часто в Интернете встречается пассивная XSS, а теперь давайте разберем, в чем их отличие. Ну прежде чем разбирать какое они имеют отличие, давайте сперва для общего понимания разберем слова Активность и Пассивность.

•      Активность – это понятие, указывающее на способность производить спонтанные действия и изменяться под воздействием внешних или внутренних факторов. А если отойти от терминологии и сказать это обычным русским языком то в нашем случае это охарактеризовывается тем что данная уязвимость постоянно работает не зависимо, но может изменяться при участии человека.
•     Пассивность – это бездействие, а в нашем случае это бездействие без участия человека, то есть пока человек не приложит руку и не проявит свое мастерство, то никакого результата не будет

     Со словами мы разобрались, теперь давайте разберемся в отличии самих уязвимостей. Активная XSS хранится на сервере, выглядеть она может следующим образом, вы зашли на страничку, на которой имеется активная XSS, открыв страничку уязвимость выполнилась и ваши Cookies улетают по нужному назначению. Пассивная же не может работать без человеческой помощи, для этого человек должен использовать социальную инженерию (что такое социальная инженерия вы можете узнать в разделе статей «Социальная инженерия»)что бы впихнуть ему ссылку на ваш сервер где находится вредоносный код который перенаправит его Cookies куда следует. Из этого вы сразу сделаете вывод то что активная XSS намного лучше, но как и все что есть в природе лучшее в малых количествах, так что активная XSS считается деликатесом.

      Хочу заметить что даже если активная XSS считается деликатесом относительно пассивной, то в Интернете этих уязвимостей будет пруд пруди, так как программисты не уделяют особого внимания теме безопасности. Таким образом в Интернете можно на каждом сайте встретить если не активную то уж пассивную XSS это точно, главное хорошо поискать. Сами же администраторы практически не уделяют времени для поиска данного рода уязвимостей, в большинстве случаев эти дыры закрывают из-за того что добропорядочные хакеры сообщают администраторам где расположена уязвимость.

      И так сегодня мы познакомились с разновидностями XSS уязвимости, в следующей статье мы будем учиться применять эти две уязвимости. Продолжение следует….