XSS атака

• Номер работы:
  369096
• Раздел:
  Все работы   →   Курсовые работы - простые   →   Информационные технологии
• Год подготовки:
  26.12.2015
• Объем работы:
  28 стр.
• Содержание:
  Введение 3
  1. Понятие о XSS, СSS атаках 5
  2. Программный язык XSS(CSS) атаки 13
  2.1. Выполнение JavaScript 14
  2.2. CSSAR 15
  2.3. Чтение токенов из URL в Firefox 16
  3. Поиск XSS-уязвимостей на сайте 18
  4. Защита от XSS атак 20
  5. Методы краж cookie пользователей 22
  Заключение 24
  Список использованной литературы 25
  
• Выдержка из работы:
  Введение
  Современный интегрированный мир построен на миллиардах веб-серверов, поддерживающих работу информационных систем, обеспечивающих выполнение различных функций, начиная от торговых операций и заканчивая поддержкой электронного правительства.
  Все это множество систем содержит не только персональные данные, но и финансовую информацию, которая требует защиты при хранении, передаче и преобразовании.
  Перенос финансовых потоков из сферы только банковской, внедрение различных платежных систем и торговых операций, которые заключаются удаленно, расширил круг потенциальных злоумышленников посягающих на эти объекты.
  Последние годы ознаменовались увеличением количества атак, которые нацелены на web-серверы. Преступность в этой сфере стала более организованной и перешла от действий студентов хакеров, утверждающихся за счет таких сомнительных успехов к вполне осмысленным действиям по массовому сбору паролей и воровству финансовой информации.
  ..........
  1. Понятие о XSS, СSS атаках
  Создание безопасного кода оказывается не простой задачей. Опытный программист, который не знаком с конкретными проблемами безопасности не может решить такую проблему. Однако следует выделить основные моменты, которые должны быть присущи любым видам кода:
   использование глобальных переменных нежелательно, так ка их инициализация возможна на основе подложных запросов GET или POST;
   следует непременно отключить вывод сообщений об ошибках, а появляющиеся проблемы и несоответствия записывать в лог-файл, так как получение информации об ошибках открывает возможность для построения провокации аналогичного характера и поиск других проблем;
   запретить пользователям напрямую проводить удаление специальных символов SQL и escape-последовательностей без использования фильтрации.
  Как уже было отмечено выше, для сайтов, которые построены с использованием баз данных, очень актуальной является SQL-инъекция.
  Внедрение SQL-кода возможно построением SQL-запросов в тех случаях, когда пользователи могут обрабатывать не фильтрованные данные.
  ......