{"id":3810,"date":"2020-10-14T11:25:00","date_gmt":"2020-10-14T11:25:00","guid":{"rendered":"http:\/\/the-codest.localhost\/blog\/web-app-security-xss-vulnerability\/"},"modified":"2026-04-27T10:24:05","modified_gmt":"2026-04-27T10:24:05","slug":"ziniatinklio-programu-saugumas-xss-pazeidziamumas","status":"publish","type":"post","link":"https:\/\/thecodest.co\/lt\/blog\/web-app-security-xss-vulnerability\/","title":{"rendered":"\u017diniatinklio programos saugumas - XSS pa\u017eeid\u017eiamumas"},"content":{"rendered":"

Puolimo scenarijus<\/h2>\n\n\n\n
    \n
  1. U\u017epuolikas randa XSS pa\u017eeid\u017eiamum\u0105 aukos naudojamoje svetain\u0117je, pvz., banko svetain\u0117je.<\/li>\n\n\n\n
  2. \u0160iuo metu auka yra prisijungusi prie \u0161io puslapio<\/li>\n\n\n\n
  3. U\u017epuolikas siun\u010dia aukai suklastot\u0105 URL adres\u0105.<\/li>\n\n\n\n
  4. auka spusteli URL adres\u0105<\/li>\n\n\n\n
  5. D\u0117l aukos bankas<\/a> interneto svetain\u0117je, JavaScript<\/a> kodas<\/a> pradedamas vykdyti, kad perimt\u0173 naudotojo duomenys<\/a> arba jo vardu atlikti pervedim\u0105 \u012f u\u017epuoliko s\u0105skait\u0105.<\/li>\n<\/ol>\n\n\n\n

    Verta pa\u017eym\u0117ti, kad aukos vardu atliekamos operacijos aukai gali b\u016bti nematomos, nes jos gali b\u016bti atliekamos fone, naudojant banko API<\/a>, arba u\u017epuolikas gali juos atlikti v\u0117liau, naudodamas autentifikavimui reikalingus duomenis, \u017eetonus, slapukus ir pan.<\/p>\n\n\n\n

    XSS tipai<\/h2>\n\n\n\n

    1. Atspind\u0117tas XSS <\/h3>\n\n\n\n

    Tai toks atvejis, kai atsakyme rodomas HTML\/JavaScript kodas, esantis bet kuriame parametre (pvz., GET, POST arba slapukas).<\/p>\n\n\n\n

    Puslapis su teksto \u012fvestimi, kurioje ie\u0161koma ka\u017eko, kas pateikia parametr\u0105 ?search=foo<\/code> URL pabaigoje, kai u\u017eklausiama API. \u012evedus bet kuri\u0105 fraz\u0119, jei ji nerandama, HTML formatu pateikiamas gr\u012f\u017etamasis prane\u0161imas ex.<\/p>\n\n\n\n

    <div>Nerastas joks rezultatas <b>foo<\/b><\/div><\/code><\/pre>\n\n\n\n
    Galime pabandyti \u012fra\u0161yti URL adres\u0105 ?search=<\/code>..<\/p>\n\n\n\n
    2.DOM XSS <\/h3>\n\n\n\n
    Taip yra tada, kai jos vykdymas \u012fjungiamas naudojant pavojingas JavaScript funkcijas, pvz. `eval`<\/code> arba `innerHtml`<\/code>. Toliau pateiktame \u201cTiesioginiame pavyzdyje\u201d rodoma DOM XSS ataka, pagr\u012fsta `innerHtml`<\/code> funkcija.<\/p>\n\n\n\n
    3. Saugomas XSS <\/h3>\n\n\n\n
    Tai vienas i\u0161 atvej\u0173, kai kenk\u0117ji\u0161kas kodas ra\u0161omas serverio pus\u0117je. Pavyzd\u017eiui, \u012f tinklara\u0161\u010dio \u012fra\u0161\u0105, kuris \u012fkeliamas \u012f server\u012f, galime nusi\u0173sti komentar\u0105 su kenk\u0117ji\u0161ku kodu. Jo u\u017eduotis, pavyzd\u017eiui, laukti, kol administratorius atliks moderavim\u0105, o tada pavogti jo sesijos duomenis ir pan.<\/p>\n\n\n\n
    Injekcijos metodai<\/h2>\n\n\n\n
    1. \u017dymos turinys<\/p>\n\n\n\n
    `onerror=\u012fsp\u0117jimas('XSS')`<\/code>\u012f<\/p>\n\n\n\n
    <img src onerror="alert('XSS')" \/><\/code><\/pre>\n\n\n\n
    2. Atributo turinys<\/p>\n\n\n\n
    `\" onmouseover=\u012fsp\u0117jimas('XSS')`<\/code> \u012f<\/p>\n\n\n\n
    <div class="" onmouseover="alert('XSS')""><\/div><\/code><\/pre>\n\n\n\n
    <\/p>\n\n\n\n
      \n
    1. Atributo turinyje be kabu\u010di\u0173<\/li>\n<\/ol>\n\n\n\n
      x onclick=\u012fsp\u0117jimas('XSS')<\/code>\u012f<\/p>\n\n\n\n
      <div class="x" onclick="alert('XSS')"><\/div><\/code><\/pre>\n\n\n\n
      <\/p>\n\n\n\n
        \n
      1. \u012e href<\/code>ef po\u017eymis<\/li>\n<\/ol>\n\n\n\n
        javascript:alert('XSS')<\/code> \u012f<\/p>\n\n\n\n
        <a href="javascript:alert('XSS')"><\/a><\/code><\/pre>\n\n\n\n
        <\/p>\n\n\n\n
          \n
        1. JavaScript kodo viduje esan\u010dioje eilut\u0117je<\/li>\n<\/ol>\n\n\n\n
          \";alert('XSS')\/\/<\/code> \u012f<\/p>\n\n\n\n
          <script>let username=\"\";alert('XSS')\/\/\";<\/script><\/code><\/pre>\n\n\n\n
            \n
          1. Atributas su JavaScript \u012fvykiu<\/li>\n<\/ol>\n\n\n\n
            ');alert('XSS')\/\/<\/code> kur '<\/code> yra viena kabliata\u0161k\u0117, \u012f<\/p>\n\n\n\n
            <div onclick="change('&#39;);alert('XSS')\/\/')">John<\/div><\/code><\/pre>\n\n\n\n
            <\/p>\n\n\n\n
              \n
            1. \u012e href<\/code> atributas JavaScript protokole<\/li>\n<\/ol>\n\n\n\n
              );alert(1)\/\/<\/code> kur %27<\/code> yra viena kabliata\u0161k\u0117, \u012f<\/p>\n\n\n\n
              <a href="javascript:change('%27);alert(1)\/\/')">spustel\u0117kite<\/a><\/code><\/pre>\n\n\n\n

               <\/code><\/p>\n\n\n\n
              Tiesioginis pavyzdys<\/h3>\n\n\n\n
              \n