Опис Cross-Site Scripting від CERT
22:47 03.09.2009В своій статті CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests CERT розповідає про Cross-Site Scripting (XSS). Стаття датована 02.02.2000 - це перша документована згадка про такий вид уразливостей, як XSS. В тому числі в тексті використаний термін “Cross-Site Scripting” для позначення атак з включенням html-тегів в сторінки сайтів.
В статті йдеться про reflected XSS. Зазначу, що про persistent XSS було відомо ще в 1998, про що в Мережі є публікації за той час. Просто лише з появою reflected XSS (на початку 2000 року), почали вживати сам термін XSS, а до цього persistent XSS уразливості просто називали “ін’єкціями скриптів”.
В даній статті подається опис Cross-Site Scripting уразливостей, їх вплив та рекомендації по їх усуненню.