уязвимость: с одного сайта выполнить команду на другом
К какой категории относится (или как правильно называется) уязвимость, когда на одном сайте размещается ссылка или форма, которая выполняет на другом сайте некоторую команду (например, отправку денег злоумышленнику ;-) ). Жертва предварительно авторизована на этом другом сайте.
Межсайтовый скриптинг
Термин cross-site scripting сам по себе довольно дурацкий, но имеет ещё более дурацкий перевод. "Cross-site", если дословно, — "по всему сайту". Т.е. суть в том, что взломщик использует недостатки фильтрации пользовательского ввода на динамически формируемом сайте, чтобы выполнить некоторое непредусмотренное разработчиком действие. Например, если бы в эту форму ввода комментария можно было засунуть javascript, это бы оказался замечательный способ для похищения чужих cookies и перехвата авторизованных сессий (для этого сайта, конечно).
XSS не предполагает обязательного наличия двух сайтов для проведения атаки, хотя в некоторых комплексных случаях и допускает такое.
Ясненько. Всем спасибо.