https://youtu.be/aIv4faCUI5c

XSS (англ. Cross-Site Scripting – «міжсайтовий скриптинг») – це один з видів атаки на веб-систему, що є на сьогодні найпоширенішим типом вразливості. При такій атаці зловмисник впроваджує шкідливий код (скрипт), який взаємодіє з веб-сервером зловмисника, до сторінки веб-сайту. Коли користувач зайде на таку сторінку, код буде виконаний.

Міжсайтовий сценарій працює шляхом маніпулювання вразливим веб-сайтом, щоб він повертав користувачам шкідливий JavaScript. Коли зловмисний код виконується всередині браузера жертви, зловмисник може повністю скомпрометувати їх взаємодію з програмою.

Ви можете підтвердити більшість видів уразливості XSS, вставивши корисне навантаження, яке змусить ваш власний браузер виконувати довільний JavaScript. Використовувати функцію alert() для цієї мети вже давно стало звичайною практикою, оскільки вона коротка, нешкідлива, і її досить важко пропустити, коли її успішно викликають.

Типи XSS інє’кцій

Reflected XSS - це найпростіший різновид міжсайтового сценарію. Він виникає, коли програма отримує дані в HTTP-запиті та включає ці дані в негайну відповідь у небезпечний спосіб.

Приклад - функціонал пошуку на веб-сайті.

<https://insecure-website.com/?search=Test>
<p>0 search results for Test</p>

Лабораторна робота

https://portswigger.net/web-security/cross-site-scripting/reflected/lab-html-context-nothing-encoded