XSS в PNG, JPG, GIF
Это очень распространенная практика для хакеров - использовать метаданные картинок в формате PNG для организации параллельных загрузок вредоносных вложений.
Фактически это способ скрыть тег iFrame внутри метаданных изображений. Она менее заметная, поскольку код создания iFrame фактически находится не в CMS, но внутри картинок PNG, которые обычно не привлекают внимания при поиске вредоносных вставок.
Атака межсайтовых сценариев — это атака на веб-приложения, которые позволяют хакеру внедрять вредоносные скрипты для выполнения вредоносных действий. Вредоносный скрипт выполняется на стороне браузера, что делает эту атаку очень мощной и критичной.
Уязвимость XSS может быть использована для достижения ряда потенциальных целей, таких как:
Украв идентификатор сеанса, злоумышленник может выдать себя за нас и получить доступ к приложению. Это может привести к тому, что неавторизованное лицо получит доступ к потенциальным данным.
Перенаправление URL-адресов — это перенаправление пользователя на другую вредоносную фишинговую страницу для сбора конфиденциальной информации.
Злоумышленник также может установить вредоносное ПО на наши компьютеры и другие устройства. Эта вредоносная программа может нанести вред данным, которые находятся на устройстве.
Для просмотра кода изображения необходимо воспользоваться HEX редактором
WYSIWYG-редакторы XSS-атаки
В первую очередь атаки xss являются проблемой вывода.
При хранении отсутствует риск для безопасности в вашей базе данных - это просто текст - это ничего не значит.
Необходимо фильтровать вывод, а не ввод.
В основном вам нужно использовать функцию всякий раз, когда вы хотите вывести что-то в браузер, что пришло из пользовательского ввода.
Политика безопасности содержимого (CSP). Использование CSP накладывает ограничения на действия злоумышленника. Наш браузер выполняет весь JavaScript, который он получает с сервера, будь то внутренний или внешний источник. Когда дело доходит до HTML-документа, браузер не может определить, является ли ресурс вредоносным или нет. CSP — это заголовок HTTP, который записывает в белый список набор надежных источников ресурсов, которые браузер может использовать для определения доверия.