Компания Imperva выпустила обновлённую редакцию аналитического отчёта Web Application Attack Report (PDF), в котором представлен анализ техник и инструментов хакерских атак на публичные веб-сайты в июне-ноябре 2011 года.

Специалисты отмечают, что количество сетевых атак продолжает расти. По их опыту, любой крупный веб-сайт «прощупывается» хакерами каждые несколько минут. В целом по интернету общее количество хакерских атак за месяц они оценивают примерно в 38 тыс. (в ноябре 2011 года), то есть десять атак в секунду.

Интернет-ресурсы Министерства финансов США были заражены вредоносным кодом, который распространялся на компьютеры пользователей, посетивших заражённые сайты. Второго мая специалист компании AVG Роджер Томпсон обнаружил, что заражены сразу три сайта (bep.gov, bep.treas.gov и moneyfactory.gov) министерства, о чём написал в корпоративном блоге.

По мнению Томпсона, злоумышленники разместили на сайтах фрагмент HTML-кода, с помощью которого посетители перенаправлялись на некий украинский сайт, где подвергались «многочисленным веб-атакам».

Организация Mozilla представила тестовую альфа-версию браузера Firefox 3.7, снабженного новой технологией защиты от веб-атак.

Фреймворк Content Security Policy (CSP) защищает от межсайтового скриптинга (XSS). Кроме того, поддерживающие CSP браузеры предусматривают наличие защиты от клик-джекинга и мониторинга пакетов.

Спецификация CSP описывает структуру нового HTTP-заголовка, в котором веб-мастер указывает, какие из сценариев разрешены для выполнения в рамках домена и к каким внешним ресурсам может обращаться код веб-страницы в случае необходимости вставки элементов (к примеру, баннеров или новостных блоков).

XSS (англ. Сross Site Sсriрting - «межсайтовый скриптинг») - тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Иногда для термина используют сокращение «CSS», но чтобы не было путаницы с каскадными таблицами стилей, используют сокращение «XSS».

Условно XSS можно разделить на активные и пассивные: