Ushbu o‘quv bo‘limi quyidagi o‘quv maqsadlarini o‘z ichiga oladi:

• Cross-Site Scripting (XSS) zaiflik turlarini tushunish
• Asosiy Cross-Site Scripting zaifliklarini ekspluatatsiya qilish
• Cross-Site Scripting orqali imtiyozlarni oshirish (Privilege Escalation)ni amalga oshirish

Yaxshi himoyalangan veb-ilovaning eng muhim xususiyatlaridan biri bu data sanitization — foydalanuvchi kiritgan ma’lumotni qayta ishlash jarayoni bo‘lib, unda xavfli belgilar yoki satrlar olib tashlanadi yoki o‘zgartiriladi. Sanitizatsiya qilinmagan (tozalab olinmagan) ma’lumotlar hujumchiga zararli kodni kiritish va ehtimolki uni ishga tushirish imkonini beradi.

Cross-Site Scripting (XSS) — bu foydalanuvchining veb-saytga bo‘lgan ishonchini ekspluatatsiya qiluvchi zaiflik bo‘lib, brauzerda chiqarilayotgan sahifaga dinamik tarzda kontent (odatda kod) joylashtiriladi.

Avvallari nisbatan kam xavfli deb hisoblangan XSS bugungi kunda yuqori xavfga ega va keng tarqalgan zaiflik hisoblanadi. Bu orqali hujumchilar boshqa foydalanuvchilar ko‘radigan sahifalarga JavaScript kabi mijoz tomonida ishlovchi (client-side) skriptlarni joylashtirishlari mumkin.

Manbalar:

1. (Wikipedia, 2022): https://en.wikipedia.org/wiki/Data_validation
2. (OWASP Foundation, Inc, 2022): https://owasp.org/www-community/attacks/xss/

8.4.1. Stored vs Reflected XSS Theory

8.4.2. JavaScript Refresher

8.4.3. Identifying XSS Vulnerabilities

8.4.4. Basic XSS

8.4.5. Privilege Escalation via XSS