XSS (Cross-Site Scripting) — уязвимость, позволяющая атакующему вставить JavaScript в страницу жертвы. Виды: Stored (в БД), Reflected (через URL), DOM-based (через JS). Защита: output escaping (htmlspecialchars/React), CSP с nonce, HttpOnly cookies. Самая частая веб-уязвимость (OWASP A03).
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
XSS (Cross-Site Scripting) — уязвимость, позволяющая атакующему вставить JavaScript в страницу жертвы. Виды: Stored (в БД), Reflected (через URL), DOM-based (через JS). Защита: output escaping (htmlspecialchars/React), CSP с nonce, HttpOnly cookies. Самая частая веб-уязвимость (OWASP A03).
Примеры атак XSS включают в себя:
<script>alert('XSS')</script> в параметры запроса. Это приведёт к выполнению скрипта на странице пользователя.Для обнаружения XSS-уязвимостей можно использовать различные инструменты и методы:
Важно регулярно проводить тестирование на наличие XSS-уязвимостей и использовать соответствующие инструменты для обеспечения безопасности веб-приложений.
Современные веб-фреймворки предоставляют различные механизмы для защиты от XSS-атак:
htmlspecialchars() в PHP или соответствующие методы в JavaScript.Разработчикам следует использовать эти механизмы и следить за обновлениями фреймворков, чтобы обеспечить надёжную защиту от XSS-атак.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)См. определение выше. Большинство веб-проектов с trafic > 100 RPS нуждается.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.