Nem криптовалюта (XEM). История, общие сведения, перспективы

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы , XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS - читаем под катом.

Все заблуждения сформулированы в заголовках, порядок произвольный, любые совпадения примеров конкретных атак и уязвимостей с реально существующими - случайны и непреднамеренны.

XSS - уязвимость Как уже было сказано выше, это не так. Межсайтовое выполнение сценариев является атакой, причем и по версии OWASP , и по версии WASC (хотя читать мануалы классификации у нас конечно не принято). Иными словами, XSS является лишь одним из возможных способов эксплуатации уязвимости определенного класса. Например, следующий код содержит только одну уязвимость, но подвержен атакам сразу нескольких классов: