Reflected XSS
“Reflected XSS” (zwrotna atak typu XSS) to technika ataku, która polega na umieszczeniu kodu złośliwego na stronie internetowej, która może wprowadzić w błąd użytkowników, którzy są zalogowani do aplikacji lub usługi online.
Atakujący wysyła specjalnie spreparowany link zawierający kod złośliwy do użytkownika, który klikając go wchodzi na stronę internetową, która obsługuje podatną aplikację. Przekierowanie na stronę z kodem złośliwym ma miejsce w wyniku wysłania żądania GET lub POST do serwera.
Jeśli ofiara klika w link zawierający kod złośliwy, następuje przeniesienie na stronę, na której znajduje się osadzony skrypt. Odsyłacz linku jest manipulowany przez atakującego, więc ofiara często nie zauważa, że dochodzi do ataku. Otwiera w ten sposób dostęp do prywatnych informacji, takich jak nazwiska, hasła, ceny produktów albo pozwala na dokonywanie transakcji z ich konta bez ich zgody.
Atak XSS został nazwany tak, ponieważ atakujący “odzwierciedla” atakowany kod na stronie, a następnie wykorzystuje go do włamania się do systemu. Jednakże, ataki tego typu są coraz trudniejsze do przeprowadzenia dzięki ciągłym aktualizacjom zabezpieczeń serwerów.
Dlatego też ważne jest, aby korzystać tylko z zaufanych witryn internetowych i zachować ostrożność podczas klikania w linki lub pobierania plików z niewiadomych źródeł.