Cross-Site Script Inclusion (XSSI)، نامی تا حدودی ناشناخته، نوعی آسیب پذیری را مشخص می کند که از این واقعیت سوء استفاده می کند که وقتی منبعی با استفاده از تگ اسکریپت گنجانده می شود، SOP اعمال نمی شود. بنابراین یک مهاجم می تواند همه چیزهایی را که با استفاده از تگ اسکریپت گنجانده شده است بخواند.
این امر به ویژه هنگامی که صحبت از جاوا اسکریپت پویا یا JSONP به میان میآید، زمانی که اطلاعات به اصطلاح محیطی مانند کوکیها برای احراز هویت استفاده میشود، جالب است. کوکیها، مانند جعل درخواست بینسایتی (CSRF)، هنگام درخواست منبع از میزبانی دیگر، گنجانده میشوند.
XSSI می تواند بسته به محتوای داده های داخل اسکریپت به روش های مختلف مورد سوء استفاده قرار گیرد. دادههای حساس در استفاده گسترده، دادههای شخصی مانند ایمیل، آدرس پستی، تولد و غیره هستند. ساده ترین راه برای کسب سود، بررسی اینکه آیا کاربر وارد شده است (ورود اوراکل) است. اطلاعات به دست آمده همچنین می تواند برای حملات مهندسی اجتماعی و حملات خاص برنامه مورد استفاده قرار گیرد.
هنگام جستجوی XSSI باید چهار موقعیت را تشخیص داد. اما خوشبختانه بهره برداری اغلب مشابه یا حتی یکسان است. می توانیم چهار حالت را از هم متمایز کنیم:
جاوا اسکریپت استاتیک (XSSI معمولی)
جاوا اسکریپت استاتیک، که تنها در صورت احراز هویت قابل دسترسی است
جاوا اسکریپت پویا
Non-JavaScript
این امر به ویژه هنگامی که صحبت از جاوا اسکریپت پویا یا JSONP به میان میآید، زمانی که اطلاعات به اصطلاح محیطی مانند کوکیها برای احراز هویت استفاده میشود، جالب است. کوکیها، مانند جعل درخواست بینسایتی (CSRF)، هنگام درخواست منبع از میزبانی دیگر، گنجانده میشوند.
XSSI می تواند بسته به محتوای داده های داخل اسکریپت به روش های مختلف مورد سوء استفاده قرار گیرد. دادههای حساس در استفاده گسترده، دادههای شخصی مانند ایمیل، آدرس پستی، تولد و غیره هستند. ساده ترین راه برای کسب سود، بررسی اینکه آیا کاربر وارد شده است (ورود اوراکل) است. اطلاعات به دست آمده همچنین می تواند برای حملات مهندسی اجتماعی و حملات خاص برنامه مورد استفاده قرار گیرد.
هنگام جستجوی XSSI باید چهار موقعیت را تشخیص داد. اما خوشبختانه بهره برداری اغلب مشابه یا حتی یکسان است. می توانیم چهار حالت را از هم متمایز کنیم:
جاوا اسکریپت استاتیک (XSSI معمولی)
جاوا اسکریپت استاتیک، که تنها در صورت احراز هویت قابل دسترسی است
جاوا اسکریپت پویا
Non-JavaScript