حملات XSS یک نوع حمله با تزریق کد مخرب در سایت است که هدف آن به دست آوردن اطلاعات کاربرانی است که به سایت مراجعه کرده اند آن سایت است.
درست است که Cross Site Scripting مخفف CSS ، میباشد اما به دلیل اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.
هدف مهاجم این است که با درج کد مخرب در یک صفحه وبسایت ، اسکریپت های مخرب را در مرورگرهای کاربران که قربانی هستند اجرا کند.
با باز کردن صفحه وب سایت آلوده یا کلیک روی یک لینک مخرب و یا باز کردن یک ایمیل، کدی به صورت مخفی روی سیستم کامپیوتر کاربران اجرا میشود که میتواند اطلاعات مهمی را از سیستم کاربر سرقت کند.
این نوع حمله بیشتر در صفحاتی اتفاق می افتد که اطلاعات بدون بررسی از فرم های Html گرفته می شوند
فرض کنید یک فرم شامل یک یا چند کادر متنی برای وارد کردن اطلاعات کاربران است به عنوان مثال فرم ثبت نام، فرم ارتباط با ما و … که پس از پرکردن و ارسال فرم اطلاعات قرار است در پایگاه داده ذخیره شوند.
اگر اطلاعات بدون هیچ بررسی در پایگاه داده ذخیره شوند بزودی هکری پیدا خواهد شد که آسیب پذیری این فرم را کشف کرده و کدهای مخرب را به جای اطلاعات سالم ارسال خواهد کرد
این نوع حمبه از نوع قبلی به مراتب بدتر است
اگر شخصی با استفاده از حملات XSS اسکریپتهای مخرب جاوا را روی سایت شما اجرا کند، امنیت وبسایت شما پایین آمده و در معرض خطر قرار میگیرد بنابراین XSS فقط مشکل کاربر نیست و هر خطر امنیتی که کاربر سایت شما را تهدید کند، خود شما را هم تهدید خواهد کرد.
هکر به سادگی میتواند فیلد وارد کردن رمز عبور را مانیتور کرده و بدزدد
هکر میتواند با استفاده از کوکیها و بدون وارد کردن رمز، وارد حساب شما شود.
هکر میتواند با تزریق کدی، درخواستهای تقلبی را از مرورگر کاربر رد و بدل کند یا میتواند اقدام به DDoS کند.