XSS (межсайтовый скриптинг) против внедрения HTML - PullRequest
Новая
       17

XSS (межсайтовый скриптинг) против внедрения HTML

0 голосов
/ 07 июля 2019

Как мы точно различаем Betweet XSS и HTML-инъекции.Оба из них подпадают под кодовое внедрение, и XSS в основном связан с Java Script, но включает в себя другие другие элементы, также упомянутые здесь, на митре .Цитирование из этого источника:

Во время генерации страницы приложение не запрещает данным содержать контент, который может быть выполнен веб-браузером, например JavaScript, теги HTML, атрибуты HTML, мышьсобытия, Flash, ActiveX и т. д.

Хотя HTML в основном связан с внедрением HTML-кода, и если я пролистываю эту страницу OWASP , он указывает на внедрение HTML кактип XSS.Цитата из этого источника:

Если эти методы предоставляются с ненадежным вводом, тогда существует высокий риск XSS, в частности, HTML-инъекции .

* 1019.*

С другой стороны, многие источники утверждают, что HTML-инъекция является подмножеством XSS, например эта страница OWASP .Цитата из этого источника:

Межсайтовый скриптинг, более известный как XSS, на самом деле является подмножеством HTML-инъекции

Есть источникиПопытка объяснить различия между ними, но ни один из них не кажется удовлетворительным (скорее, они противоречивы).Так чем же они отличаются?Может ли один из них рассматриваться как подмножество другого?

Ответы [ 3 ]

1 голос
/ 07 июля 2019

В этих источниках нет единого мнения. В случае, когда источники противоречат друг другу, вам нужно будет четко указать, какое определение вы используете при работе с терминологией.

Некоторые источники интерпретируют XSS как внедрение Javascript ( 1 и 2 ), что тогда похоже на внедрение HTML. Оба являются взаимоисключающими подмножествами внедрения кода согласно этому определению.

Другие будут определять XSS как внедрение кода ( 3 ), в котором HTML-внедрение senario является подмножеством XSS.

0 голосов
/ 10 июля 2019

Xss относится к JavaScript, однако я согласен, что он также включает в себя сущности HTML, поэтому считается тесно связанным с внедрением HTML, но отмечу, что в основном полезные нагрузки, используемые тестерами, предназначены только для демонстрационных целей и не включают фактического воздействия уязвимости.и поэтому они даже не содержат много JavaScript.Также НЕКОТОРЫЕ объекты HTML важны для выхода из контекста, но это не делает его похожим на внедрение HTML.

0 голосов
/ 10 июля 2019

HTML-внедрение - это суперсет атаки XSS (межсайтовый скриптинг). Для успешной атаки XSS злоумышленникам необходимо внедрить и запустить код JS на целевой HTML-странице.

...