=/= Zasto je XSS opasan ? =/=
_ 2009-09-25 00:18:19 _

U svom poslu cesto se srecem sa raznim sistemima za upravljanje sadrzajem i
resursima kao i drugim korisnim web aplikacijama. U vecini slucajeva ove web
aplikacije su ranjive na takozvani "XSS" napad koji omogucava ubacivanje
zlonamernog HTML ili SCRIPT koda.

Ono sto je zabrinjavajuce u ovom slucaju, nije sam propust jer se on lako moze
odkloniti, vec nedostatak razumevanja od strane menadzera za potrebom
odklanjanja samog propusta.

Vecina osoba koje odlucuju da li ce neki proizvod proci "security" analizu
smatraju to samo dodatnim troskom i gubljenjem vremena. Za njih prikazani "alert
box" ne predstavlja nikakvu opasnost.
Ali, u trenutku kada napadac ima mogucnost ubacivanja svog koda u aplikaciju i
izvrsavanja istog kroz korisnicku sesiju, od tog trenutka aplikacijom vise ne
upravlja korisnik ili administrator.
Spretan napadac ce veoma lako pokrenuti bilo koju akciju umesto trenutnog
korisnika i tako doci do vitalnih infomacija ili ce izvrsiti napad na samog
administratora postavljanjem "XSS" zamke.
Ukoliko administrator sa svim svojim privilegijama, slucajno ili namerno
pregleda nalog korisnika koji je kompromitovan, on ce vrlo brzo postati i sam
zrtva ovog napada.

"XSS" omogucava menjanje sadrzaja, pokretanje akcija kao i manipulaciju
privilegijama! "XSS" je opasan propust i obavezno se mora sanirati na vreme.

Zanimljiv text na ovu temu: "How dangerous is xss on web based cms"