XSS - Cross Site Scripting

Ezzel az elnevezéssel használt módszerek lényege, hogy egy már meglévő rendszerbe egy kártékony program részletet tudunk beilleszteni majd maga a megtámadott ügyfél futtatja le a kódot. Két nagy típusát tudjuk megkülönböztetni azon kívül, hogy még sokféleképpen tudjuk csoportosítani őket. Az egyik nagy csoportot perzisztens típusnak nevezzük. Ilyenkor a kódrészlet az adatbázisba íródik és onnan töltődik be a futtatáskor. Minden oldal letöltésekor megjelenhetnek, hiszen egy állandóan jelen lévő rosszindulatú kódról van szó. A másik fajtája a nem perzisztens típus, amikor a kérésekben illetve egyéb módon kerülnek végrehajtásra a kódrészletek. Ezeket a lehetőségeket kihasználva különböző felhasználói adatokhoz lehet hozzáférni. A sütikben tárolt információkon keresztül az eltárolt jelszavakig számos lehetőség tárul a kódot futtató adathalász elé vagy akár adminisztrátori jogokat is szerezhetnek egy több száz felhasználós rendszerben és jogosulatlanul garázdálkodhatnak, visszaélhetnek az ott megszerzett információkkal.

A támadások elleni védekezés:

- Nem illesztünk be ismeretlen eredetű tartalmat a <script></script>, <!-- -->, az attributúmok és a tagek nevébe.
- Amikor ismeretlen tartalmat helyezünk a <body></body> illetve egyéb html tagek közé, feldolgozzuk őket úgy, hogy kiveszünk belőle bizonyos karaktereket. Egyes attribútumoknak pedig nem is engedjük meg, hogy megbízhatatlan értékeket vegyenek fel.
Összességében elmondható, hogy egy jól meghatározott szűrési szabállyal kivédhetőek a rosszindulatú kódrészletek végrehajtásai.