Авторы: Джейкоб Каллин и Ирен Лобо Валбуэна (Jakob Kallin, Irene Lobo Valbuena)
Оригинал статьи
Перевод: Ольга Алифанова
Это вторая часть руководства по XSS. В первой части была дана общая информация по XSS-уязвимостям и основному сценарию их использования.
Типы XSSНесмотря на то, что цель XSS-атаки всегда в том, чтобы запустить вредоносный JavaScript в браузере жертвы, способы, которыми этого можно добиться, фундаментально различаются. XSS-атаки часто делят на три типа:
- Длительная XSS-атака, когда вредоносная строка хранится в базе данных сайта.
- Отраженная XSS-атака, когда вредоносная строка создается в запросе жертвы.
- Основанная на DOM атака, когда уязвимость находится в клиентском коде, а не в серверном.
Пример в первой части иллюстрировал длительную XSS-атаку. Теперь мы опишем два оставшихся типа атак: отраженную и основанную на DOM.