Cross-site scripting (original) (raw)
XSS, de l'anglès Cross-site scripting és un tipus de vulnerabilitat informàtica o forat de seguretat basat en l'explotació de vulnerabilitats del sistema de validació del HTML incrustat.
| Property | Value |
|---|---|
| dbo:abstract | XSS, de l'anglès Cross-site scripting és un tipus de vulnerabilitat informàtica o forat de seguretat basat en l'explotació de vulnerabilitats del sistema de validació del HTML incrustat. (ca) Cross-site scripting (XSS) je v informatice typ zranitelnosti webové aplikace. XSS útok je založen na (podstrčení) do dynamické webové stránky (JavaScript prováděný na straně klienta). Pomocí XSS může útočník obejít omezení přístupu tím, že útočníkův kód je vložen do webové stránky ověřeného uživatele a tím zdánlivě pochází z důvěryhodného zdroje. XSS útoky jsou stále vážným nebezpečím pro webové aplikace a jejich dopady mohou být od pouhého poškození vzhledu webové stránky k vážnému narušení bezpečnosti a získávání citlivých údajů návštěvníků. XSS může být využíván i při phishingu, kde je pomocí XSS uživateli ukázán jiný obsah na jinak důvěryhodné stránce. (cs) البرمجة العابرة للمواقع أو هجوم حقن النصوص البرمحية عبر موقع وسيط (بالإنجليزية: (Cross-site scripting (XSS)) هي أحد أنواع الهجوم التي يتعرض لها الأنظمة الحاسوبية، ونجدها خصوصاً في تطبيقات الإنترنت عبر ما يسمى برمجة بالحقن، التي يلجأ فيها بعض مستخدمي الإنترنت المخربين لإدخال بعض الجمل البرمجية للصفحات التي يستعرضها الآخرون. وعادة ما نجد هذا النوع من الهجوم في المواقع التي تستخدم لغة HTML.أما المخربين الذي يستغلون نقطة الضعف في مواقع الإنترنت، فعادة ما يحاولون العبث ببعض المبادئ الرئيسية في النظام مثل تنظيم الدخول (Access Control)، أو لمحاولة الاستيلاء على معلومات حساسة ومهمة.تحمل هذه البرامج عند زيارة المستخدم لمواقع غير آمنة، أو قيامه بفتح مرقفات مجهولة المصدر مع رسائله الإلكترونية، حيث تتتبع ضغط المستخدم للوحة المفاتيح، للحصول على كلمات المرور، والاحتفاظ بها؛ مما يتيح للمخترقين معرفتها. (ar) Με τον όρο Cross-site Scripting ή XSS αναφερόμαστε σε μία ευπάθεια ασφάλειας που επιτρέπει σε έναν κακόβουλο χρήστη να εγχύσει κώδικα JavaScript σε μία ιστοσελίδα. Με τη σειρά του, ο κώδικας αυτός θα εκτελεστεί στον φυλλομετρητή του χρήστη που θα επιχειρήσει να επισκεφθεί την συγκεκριμένη ιστοσελίδα. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν μία cross-site scripting ευπάθεια προκειμένου να παρακάμψουν ελέγχους πρόσβασης, όπως το . Ο αντίκτυπος των εν λόγω επιθέσεων ποικίλλει από μικρές αλλαγές που ενδεχομένως επηρεάζουν την εμπειρία ενός χρήστη, μέχρι μεγάλης εμβέλειας ζημιές, ανάλογα με την ευαισθησία των δεδομένων που χειρίζεται ο ευάλωτος ιστότοπος, αλλά και τις προσπάθειες μετρίασης των αρνητικών συνεπειών. (el) Cross-Site-Scripting (XSS; deutsch Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Ziel ist es meist, an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl). (de) Cross-site scripting (XSS) is a type of security vulnerability that can be found in some web applications. XSS attacks enable attackers to inject client-side scripts into web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same-origin policy. Cross-site scripting carried out on websites accounted for roughly 84% of all security vulnerabilities documented by Symantec up until 2007. XSS effects vary in range from petty nuisance to significant security risk, depending on the sensitivity of the data handled by the vulnerable site and the nature of any security mitigation implemented by the site's owner network. (en) Cross-site scripting (XSS) segurtasun informatikoko bat da, web aplikazioetan gertatu ohi dena. horren eraginez, erabiltzaile batek web orri batean sar dezake, web orrialde horren jokaera aldatuz. Segurtasun hau web orrietan, web aplikazioetan eta nabigatzaileetan izan daiteke. horrekin erasotzaile batek web gunearen segurtasun politikak saihestu, informazioa aldatu, spam mezuak bidali eta informazio garrantzitsua lapurtu ditzake besteak beste. XSS-a, web garatzaile askok kontuan hartzen ez duten da, planifikazio txarra edo jakinduria falta dela eta. hau ematen da web guneetan informazio sarrerak iragazten ez dituztelako, honek edozein motatako datuak sartzea eta erasotzaileak edozein exekutatzea ahalbidetzen du. hau bi sailetan banatzen da: zuzeneko XSS eta zeharkako XSS. (eu) Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. Le cross-site scripting est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X se lisant « cross » (croix, à travers) en anglais. (fr) Una secuencia de comandos en sitios cruzados o Cross-site scripting (XSS por sus siglas en idioma inglés) es un tipo de vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript). Se puede evitar usando medidas como CSP, política del mismo origen, etcétera. Es posible encontrar una vulnerabilidad de Cross-Site Scripting en aplicaciones que tengan entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. (es) XSS merupakan kependekan yang diguna kan untuk istilah cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS d ilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet. (in) クロスサイトスクリプティング(英: cross-site scripting)とは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった。 「クロスサイト(サイト横断)」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった。 この拡張された定義においてXSS攻撃とは、攻撃者の作成したスクリプトを脆弱性のある標的サイトのドメインの権限において閲覧者のブラウザで実行させる攻撃一般を指す。斜体で書いた部分がXSS攻撃の重要な特徴であり、この特徴により標的サイトの権限がないと実行できないようブラウザが制限している(同一生成元ポリシー)はずの行動を、攻撃者に実行可能にしてしまう。 (ja) 사이트 간 스크립팅, 크로스 사이트 스크립팅(영어: Cross-site scripting XSS[*])은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이름이 CSS가 아닌 이유는 웹 기술인 CSS와 헷갈릴 수 있어서다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 한다. (ko) Il cross-site scripting (XSS) è una vulnerabilità informatica che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette a un cracker di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi quali, ad esempio, raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web, ecc. Nell'accezione odierna, la tecnica ricomprende l'utilizzo di qualsiasi linguaggio di scripting lato client tra i quali JavaScript, VBScript, Flash. Il loro effetto può variare da un piccolo fastidio a un significativo rischio per la sicurezza, a seconda della sensibilità dei dati trattati nel sito vulnerabile e dalla natura delle strategie di sicurezza implementate dai proprietari del sito web. Secondo un rapporto di Symantec nel 2007, l'80% di tutte le violazioni è dovuto ad attacchi XSS. (it) Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. In het begin werd het acroniem CSS gebruikt om cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en Content Scramble System werd snel hierna de afkorting XSS gebruikt waarbij de X staat voor cross (Engelse woord voor kruis). Vaak wordt cross-site scripting gebruikt in combinatie met Phishing, waarbij de eindgebruiker wordt verleid om op een met XSS geprepareerde link in een e-mailbericht te klikken. Zodra deze persoon op de link klikt wordt de XSS aanval uitgevoerd. (nl) Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro de páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem. (pt) Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika. (pl) Cross site scripting, XSS, är ett datorrelaterat säkerhetsproblem. XSS-säkerhetsbrister kan exempelvis användas till att kapa inloggningar genom att stjäla webbkakor eller för att modifiera en webbsidas utseende och funktionalitet. Ett exempel på hur XSS kan modifiera en sidas utseende vore om ett fält där det är meningen att text ska skrivas inte är skyddat mot HTML-kod. Då kan användaren lägga in stora bilder eller ramar som tar upp plats och förstör utseendet på sidan. Även länkar till skadliga sidor kan då planteras där. XSS kan också användas för att stjäla information från andra användare. Exempelvis kan vi tänka oss en webbplats där man kan skicka meddelanden till varandra. Om sajten inte är skyddad mot XSS så kan användaren X skicka ett meddelande till användare Y och få honom att klicka på en länk som via javascript automatiskt skickar hemlig information om användaren Y till användaren X. Med den informationen kan exempelvis användare X logga in som användare Y. (sv) XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «Внедрение кода». Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя. Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS». XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений, согласно OWASP 2021. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки. (ru) XSS (англ. Cross Site Scripting — «міжсайтовий скриптинг») — тип вразливості інтерактивних інформаційних систем у вебі. XSS виникає, коли на сторінки, які були згенеровані сервером, з якоїсь причини потрапляють користувацькі скрипти. Специфіка подібних атак полягає в тому, що замість безпосередньої атаки сервера зловмисники використовують вразливий сервер для атаки на користувача. Для терміну використовують скорочення «XSS», щоб не було плутанини з каскадними таблицями стилів (абревіатура «CSS»). Довгий час програмісти не приділяли їм належної уваги, вважаючи їх безпечними. Однак ця думка помилкова: на сторінці або в HTTP-Cookie можуть бути досить вразливі дані (наприклад, ідентифікатор сесії адміністратора). На популярному сайті скрипт може влаштувати DoS-атаку. (uk) 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代码注入的一种。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 (zh) |
| dbo:wikiPageExternalLink | http://bobssite.org/search%3C/nowiki%3E'''%3Fq=puppies'''%22 http://lockmedown.com/preventing-xss-in-asp-net-made-easy/ http://projects.webappsec.org/Cross-Site-Scripting http://www.jsfuck.com/ http://www.xssed.com/ https://owasp.org/www-community/attacks/xss/ http://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scripting http://www.owasp.org/index.php/Testing_for_Cross_site_scripting http://www.scriptalert1.com |
| dbo:wikiPageID | 241154 (xsd:integer) |
| dbo:wikiPageLength | 47312 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1123369002 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:List_of_XML_and_HTML_character_entity_references dbr:Alice_and_Bob dbc:Injection_exploits dbr:Percent-encoding dbr:Cure53 dbr:VBScript dbr:Information_security dbr:Information_security_audit dbr:Internet_security dbr:SQL_injection dbr:Payment_card_number dbr:Computer_network dbr:Content_Security_Policy dbr:Safari_(web_browser) dbr:Escape_character dbr:Network_address_translation dbr:Same-origin_policy dbr:Mobile_IP dbr:Server-side_redirect dbr:Gecko_(layout_engine) dbr:Google_Chrome dbr:MySpace dbr:Cross-site_request_forgery dbr:Cross-zone_scripting dbr:Cryptographic_nonce dbc:Hacking_(computer_security) dbr:AngularJS dbr:Client-side dbr:Computer_worm dbr:Email dbr:Phishing dbr:Static_program_analysis dbr:String_(computer_science) dbr:Twitter dbr:W3af dbr:Web_application dbr:Web_proxy dbr:Web_template_system dbr:HTML_sanitization dbr:HTTP_header_injection dbr:HTTP_response_splitting dbr:Login dbr:AJAX dbr:ASCII dbr:Access_control dbr:ActiveX dbr:Adobe_Flash dbr:Ajax_(programming) dbr:Facebook dbr:Firefox dbr:NoScript dbr:NortonLifeLock dbr:Frame_(World_Wide_Web) dbr:HTML dbr:HTTP_cookie dbr:Internet_Explorer dbr:JQuery dbr:JavaScript dbr:Java_(programming_language) dbc:Web_security_exploits dbr:Samy_(computer_worm) dbr:Blue_team_(computer_security) dbr:Code_injection dbr:JavaScript_library dbr:Trademark_(computer_security) dbr:Document_Object_Model dbr:Buffer_overflow dbr:Metasploit_Project dbr:Microsoft dbr:Browser_security dbr:OWASP dbr:Opera_(web_browser) dbr:Session_hijacking dbr:Social_engineering_(security) dbr:Website dbr:Obfuscation dbr:Web_application_security_scanner dbr:Eval dbr:Self-XSS dbr:Web_API dbr:Parameter_validation dbr:Web_2.0 dbr:Web_application_security dbr:Vulnerability_(computer_science) dbr:Cross-document_messaging dbr:Free_and_open_source dbr:Client-side_script dbr:XML_external_entity |
| dbp:wikiPageUsesTemplate | dbt:Anchor dbt:Cite_web dbt:Code dbt:Quote_box dbt:Redirect dbt:Reflist dbt:Short_description dbt:Use_mdy_dates dbt:Manual dbt:Information_security |
| dcterms:subject | dbc:Injection_exploits dbc:Hacking_(computer_security) dbc:Web_security_exploits |
| gold:hypernym | dbr:Vulnerability |
| rdf:type | dbo:Software yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Event100029378 yago:Feat100036762 yago:PsychologicalFeature100023100 yago:WikicatInjectionExploits yago:YagoPermanentlyLocatedEntity |
| rdfs:comment | XSS, de l'anglès Cross-site scripting és un tipus de vulnerabilitat informàtica o forat de seguretat basat en l'explotació de vulnerabilitats del sistema de validació del HTML incrustat. (ca) Cross-site scripting (XSS) je v informatice typ zranitelnosti webové aplikace. XSS útok je založen na (podstrčení) do dynamické webové stránky (JavaScript prováděný na straně klienta). Pomocí XSS může útočník obejít omezení přístupu tím, že útočníkův kód je vložen do webové stránky ověřeného uživatele a tím zdánlivě pochází z důvěryhodného zdroje. XSS útoky jsou stále vážným nebezpečím pro webové aplikace a jejich dopady mohou být od pouhého poškození vzhledu webové stránky k vážnému narušení bezpečnosti a získávání citlivých údajů návštěvníků. XSS může být využíván i při phishingu, kde je pomocí XSS uživateli ukázán jiný obsah na jinak důvěryhodné stránce. (cs) البرمجة العابرة للمواقع أو هجوم حقن النصوص البرمحية عبر موقع وسيط (بالإنجليزية: (Cross-site scripting (XSS)) هي أحد أنواع الهجوم التي يتعرض لها الأنظمة الحاسوبية، ونجدها خصوصاً في تطبيقات الإنترنت عبر ما يسمى برمجة بالحقن، التي يلجأ فيها بعض مستخدمي الإنترنت المخربين لإدخال بعض الجمل البرمجية للصفحات التي يستعرضها الآخرون. وعادة ما نجد هذا النوع من الهجوم في المواقع التي تستخدم لغة HTML.أما المخربين الذي يستغلون نقطة الضعف في مواقع الإنترنت، فعادة ما يحاولون العبث ببعض المبادئ الرئيسية في النظام مثل تنظيم الدخول (Access Control)، أو لمحاولة الاستيلاء على معلومات حساسة ومهمة.تحمل هذه البرامج عند زيارة المستخدم لمواقع غير آمنة، أو قيامه بفتح مرقفات مجهولة المصدر مع رسائله الإلكترونية، حيث تتتبع ضغط المستخدم للوحة المفاتيح، للحصول على كلمات المرور، والاحتفاظ بها؛ مما يتيح للمخترقين معرفتها. (ar) Με τον όρο Cross-site Scripting ή XSS αναφερόμαστε σε μία ευπάθεια ασφάλειας που επιτρέπει σε έναν κακόβουλο χρήστη να εγχύσει κώδικα JavaScript σε μία ιστοσελίδα. Με τη σειρά του, ο κώδικας αυτός θα εκτελεστεί στον φυλλομετρητή του χρήστη που θα επιχειρήσει να επισκεφθεί την συγκεκριμένη ιστοσελίδα. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν μία cross-site scripting ευπάθεια προκειμένου να παρακάμψουν ελέγχους πρόσβασης, όπως το . Ο αντίκτυπος των εν λόγω επιθέσεων ποικίλλει από μικρές αλλαγές που ενδεχομένως επηρεάζουν την εμπειρία ενός χρήστη, μέχρι μεγάλης εμβέλειας ζημιές, ανάλογα με την ευαισθησία των δεδομένων που χειρίζεται ο ευάλωτος ιστότοπος, αλλά και τις προσπάθειες μετρίασης των αρνητικών συνεπειών. (el) Cross-Site-Scripting (XSS; deutsch Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Ziel ist es meist, an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl). (de) Cross-site scripting (XSS) is a type of security vulnerability that can be found in some web applications. XSS attacks enable attackers to inject client-side scripts into web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same-origin policy. Cross-site scripting carried out on websites accounted for roughly 84% of all security vulnerabilities documented by Symantec up until 2007. XSS effects vary in range from petty nuisance to significant security risk, depending on the sensitivity of the data handled by the vulnerable site and the nature of any security mitigation implemented by the site's owner network. (en) XSS merupakan kependekan yang diguna kan untuk istilah cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS d ilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet. (in) クロスサイトスクリプティング(英: cross-site scripting)とは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった。 「クロスサイト(サイト横断)」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった。 この拡張された定義においてXSS攻撃とは、攻撃者の作成したスクリプトを脆弱性のある標的サイトのドメインの権限において閲覧者のブラウザで実行させる攻撃一般を指す。斜体で書いた部分がXSS攻撃の重要な特徴であり、この特徴により標的サイトの権限がないと実行できないようブラウザが制限している(同一生成元ポリシー)はずの行動を、攻撃者に実行可能にしてしまう。 (ja) 사이트 간 스크립팅, 크로스 사이트 스크립팅(영어: Cross-site scripting XSS[*])은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이름이 CSS가 아닌 이유는 웹 기술인 CSS와 헷갈릴 수 있어서다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 한다. (ko) Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro de páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem. (pt) Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika. (pl) 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代码注入的一种。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 (zh) Una secuencia de comandos en sitios cruzados o Cross-site scripting (XSS por sus siglas en idioma inglés) es un tipo de vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript). Se puede evitar usando medidas como CSP, política del mismo origen, etcétera. (es) Cross-site scripting (XSS) segurtasun informatikoko bat da, web aplikazioetan gertatu ohi dena. horren eraginez, erabiltzaile batek web orri batean sar dezake, web orrialde horren jokaera aldatuz. Segurtasun hau web orrietan, web aplikazioetan eta nabigatzaileetan izan daiteke. horrekin erasotzaile batek web gunearen segurtasun politikak saihestu, informazioa aldatu, spam mezuak bidali eta informazio garrantzitsua lapurtu ditzake besteak beste. hau bi sailetan banatzen da: zuzeneko XSS eta zeharkako XSS. (eu) Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. (fr) Il cross-site scripting (XSS) è una vulnerabilità informatica che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette a un cracker di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi quali, ad esempio, raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web, ecc. Secondo un rapporto di Symantec nel 2007, l'80% di tutte le violazioni è dovuto ad attacchi XSS. (it) Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (nl) XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «Внедрение кода». Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS». (ru) Cross site scripting, XSS, är ett datorrelaterat säkerhetsproblem. XSS-säkerhetsbrister kan exempelvis användas till att kapa inloggningar genom att stjäla webbkakor eller för att modifiera en webbsidas utseende och funktionalitet. Ett exempel på hur XSS kan modifiera en sidas utseende vore om ett fält där det är meningen att text ska skrivas inte är skyddat mot HTML-kod. Då kan användaren lägga in stora bilder eller ramar som tar upp plats och förstör utseendet på sidan. Även länkar till skadliga sidor kan då planteras där. (sv) XSS (англ. Cross Site Scripting — «міжсайтовий скриптинг») — тип вразливості інтерактивних інформаційних систем у вебі. XSS виникає, коли на сторінки, які були згенеровані сервером, з якоїсь причини потрапляють користувацькі скрипти. Специфіка подібних атак полягає в тому, що замість безпосередньої атаки сервера зловмисники використовують вразливий сервер для атаки на користувача. Для терміну використовують скорочення «XSS», щоб не було плутанини з каскадними таблицями стилів (абревіатура «CSS»). (uk) |
| rdfs:label | برمجة عابرة للمواقع (ar) Cross Site Scripting (ca) Cross-site scripting (cs) Cross-Site-Scripting (de) Cross-site scripting (el) Cross-site scripting (es) Cross-site scripting (en) Cross-site scripting (eu) XSS (in) Cross-site scripting (fr) Cross-site scripting (it) 사이트 간 스크립팅 (ko) クロスサイトスクリプティング (ja) Cross-site scripting (nl) Cross-site scripting (pt) Cross-site scripting (pl) Межсайтовый скриптинг (ru) Cross site scripting (sv) Міжсайтовий скриптинг (uk) 跨網站指令碼 (zh) |
| owl:sameAs | freebase:Cross-site scripting yago-res:Cross-site scripting wikidata:Cross-site scripting dbpedia-ar:Cross-site scripting dbpedia-az:Cross-site scripting dbpedia-ca:Cross-site scripting dbpedia-cs:Cross-site scripting dbpedia-da:Cross-site scripting dbpedia-de:Cross-site scripting dbpedia-el:Cross-site scripting dbpedia-es:Cross-site scripting dbpedia-et:Cross-site scripting dbpedia-eu:Cross-site scripting dbpedia-fa:Cross-site scripting dbpedia-fi:Cross-site scripting dbpedia-fr:Cross-site scripting dbpedia-he:Cross-site scripting dbpedia-id:Cross-site scripting dbpedia-it:Cross-site scripting dbpedia-ja:Cross-site scripting dbpedia-ko:Cross-site scripting dbpedia-lmo:Cross-site scripting http://lt.dbpedia.org/resource/XSS http://lv.dbpedia.org/resource/Starpvietņu_skriptošana http://ml.dbpedia.org/resource/ക്രോസ്_സൈറ്റ്_സ്ക്രിപ്റ്റിംഗ് http://mn.dbpedia.org/resource/Cross-site_scripting_(XSS)_халдлага http://my.dbpedia.org/resource/XSS dbpedia-nl:Cross-site scripting dbpedia-no:Cross-site scripting http://or.dbpedia.org/resource/କ୍ରସ_ସାଇଟ୍_ସ୍କ୍ରିପଟିଂ dbpedia-pl:Cross-site scripting dbpedia-pt:Cross-site scripting dbpedia-ru:Cross-site scripting dbpedia-simple:Cross-site scripting dbpedia-sk:Cross-site scripting dbpedia-sr:Cross-site scripting dbpedia-sv:Cross-site scripting dbpedia-tr:Cross-site scripting dbpedia-uk:Cross-site scripting dbpedia-zh:Cross-site scripting https://global.dbpedia.org/id/3RvRD |
| prov:wasDerivedFrom | wikipedia-en:Cross-site_scripting?oldid=1123369002&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:Cross-site_scripting |
| is dbo:wikiPageDisambiguates of | dbr:Cross-site dbr:CSS_(disambiguation) |
| is dbo:wikiPageRedirects of | dbr:Cross-site_Scripting dbr:Cross-Site_Scripting dbr:XSS dbr:Xss dbr:Universal_XSS dbr:Universal_cross-site_scripting dbr:Cross-site_scripting_attack dbr:Cross_Site_Scripting dbr:Cross_site_scripting dbr:Reflected_XSS dbr:CSS_attack dbr:Stored_XSS dbr:UXSS dbr:UXSS_attack dbr:X-site_scripting dbr:XSS_attack dbr:XXS |
| is dbo:wikiPageWikiLink of | dbr:Pwnie_Awards dbr:List_of_acronyms:_C dbr:List_of_computing_and_IT_abbreviations dbr:Mojibake dbr:Open_Bug_Bounty dbr:Privacy_concerns_with_Facebook dbr:Joshua_Davis_(designer) dbr:José_Luis_Rodríguez_Zapatero dbr:PayPal dbr:DNS_hijacking dbr:UTF-7 dbr:UTF-8 dbr:Uncontrolled_format_string dbr:DevOps dbr:Double_encoding dbr:Dynamic_application_security_testing dbr:Internet_forum dbr:Internet_privacy dbr:SQL_injection dbr:String_interpolation dbr:Timeline_of_events_associated_with_Anonymous dbr:.NET_Framework_version_history dbr:Content_Security_Policy dbr:Cross-site_Scripting dbr:MediaWiki dbr:SVG dbr:SXML dbr:Sakura_Samurai_(group) dbr:Same-origin_policy dbr:Semantic_URL_attack dbr:Vulnerability_(computing) dbr:FuelPHP dbr:Gay_Nigger_Association_of_America dbr:Gmail dbr:Confused_deputy_problem dbr:Content_sniffing dbr:Cross-application_scripting dbr:Cross-origin_resource_sharing dbr:Cross-site_cooking dbr:Cross-site_request_forgery dbr:Cross-zone_scripting dbr:Applications_of_artificial_intelligence dbr:Magento dbr:Caja_project dbr:Client-side dbr:Comet_(programming) dbr:Common_Weakness_Enumeration dbr:Computer_virus dbr:Delimiter dbr:Zero_Day_Initiative dbr:Clickjacking dbr:Keystroke_logging dbr:Phishing dbr:Magic_quotes dbr:Single-page_application dbr:Online_banking dbr:Tumblr dbr:TweetDeck dbr:Data_URI_scheme dbr:Wargame_(hacking) dbr:Cross-Site_Scripting dbr:Cross-site dbr:HP_Application_Security_Center dbr:HTML_sanitization dbr:HTTP_header_injection dbr:HTTP_response_splitting dbr:Headless_browser dbr:Adminer dbr:Adobe_Flash_Player dbr:Alexandra_Elbakyan dbr:Dan_Kaminsky dbr:Flarum dbr:NoScript dbr:NotScripts dbr:Password_manager dbr:Differential_testing dbr:List_of_HTTP_header_fields dbr:Privilege_escalation dbr:Security_hacker dbr:Proxy_server dbr:Reflected_DOM_Injection dbr:HTTP_cookie dbr:Hiawatha_(web_server) dbr:Attack_patterns dbr:Invidious dbr:JWt_(Java_web_toolkit) dbr:JavaScript dbr:Hungarian_notation dbr:URL_shortening dbr:Samy_(computer_worm) dbr:AVG_AntiVirus dbr:Character_encodings_in_HTML dbr:Jinja_(template_engine) dbr:Jira_(software) dbr:TSN.ua dbr:Code_audit dbr:Code_injection dbr:JSFuck dbr:Third_Voice dbr:XSS dbr:Django_(web_framework) dbr:CDATA dbr:CESU-8 dbr:Pop-up_ad dbr:Social_jacking dbr:File_inclusion_vulnerability dbr:I2P dbr:IOS_version_history dbr:ISO/IEC_2022 dbr:Inline_linking dbr:Browser_security dbr:National_Sun_Yat-sen_University dbr:Opa_(programming_language) dbr:Open_Power_Template dbr:Oracle_Application_Express dbr:CSS_(disambiguation) dbr:WordPress dbr:Wt_(web_toolkit) dbr:Xss dbr:Yahoo!_Mail dbr:Session_hijacking dbr:Single_sign-on dbr:Standard_Compression_Scheme_for_Unicode dbr:Scunthorpe_problem dbr:Web_application_firewall dbr:World_Wide_Web dbr:Network_security dbr:XMLHttpRequest dbr:Improper_input_validation dbr:List_of_tools_for_static_code_analysis dbr:Skype_security dbr:Threat_actor dbr:Malvertising dbr:SOHH dbr:NT_LAN_Manager dbr:Self-XSS dbr:Suhosin dbr:Veracode dbr:Web_Messaging dbr:Parameter_validation dbr:Universal_XSS dbr:Universal_cross-site_scripting dbr:Cross-site_scripting_attack dbr:Cross_Site_Scripting dbr:Cross_site_scripting dbr:Reflected_XSS dbr:CSS_attack dbr:Stored_XSS dbr:UXSS dbr:UXSS_attack dbr:X-site_scripting dbr:XSS_attack dbr:XXS |
| is foaf:primaryTopic of | wikipedia-en:Cross-site_scripting |