Межсайтовый скриптинг в рекламных технологиях
Интернет развивается в геометрической прогрессии — покупки и продажи практически во всех сферах жизни постепенно перемещаются в виртуальную реальность. Отсюда все увеличивающийся спрос на различные товары и услуги в сети, за ним же следует предложение. Количество сайтов продолжает расти, потому что есть спрос на их услуги (как и на контекстную рекламу, которая нужна для их продвижения), а значит, открывать новые точки притяжения в интернете выгодно. В ближайшем будущем ситуация вряд ли изменится.
Однако далеко не все ограничиваются честными способами продвижения своих сайтов на виртуальном рынке. Для того, чтобы быстрее достичь результата, некоторые разработчики используют межсайтовый скриптинг или XSS атаки. Метод используется также для быстрого заработки в сети на кликах. Суть его в атаке не на сервер, а на конечного пользователя с целью получения монетарной прибыли, либо вытягивания скрытой информации для дальнейшего использования в своих целях. Таким же образом могут распространяться рекламные месседжи. Код внедряется непосредственно в кодировку открываемой страницы, что приводит к изменению ожидаемого действия.
Долгое время вредоносному эффекту межсайтового скриптинга не уделялось достаточно внимания, что привело к его быстрому прогрессированию в сети. Сегодня различные XSS коды способны пробраться в финансовые операции и наносить конкретный материальный ущерб пользователям и владельцам сайтов.
Принцип действия вредоносного XSS кода
Суть XSS атаки состоит в подмене для пользователя виртуальной ссылки, для чего используются РOST и GET запросы. Таким образом, в генерируемую скриптом HTML-страницу внедряется специальный код с помощью переменной, которая не фильтруется на предмет запрещенных символов. Один из способов обнаружения GET- запроса — наличие в ссылке переменных (&sid, &file и др.), которых там по определению быть не должно. Использование РOST запроса сложнее, трудно определимо визуально и требует вовлечения промежуточной страницы.
Межсайтовый скриптинг нацелен на внедрение специального кода на страницу зарегистрированного пользователя какого-либо сайта с тем, чтобы привлечь его к сторонним действиям (побудить перейти на другой сайт в рекламных целях). Ссылка на вредоносный ресурс может маскироваться различным образом и посетитель не догадывается, что действует вне компетенции доверенного сайта, а по указке стороннего ресурса.

Стоит ли использовать межсайтовый скриптинг в рекламных целях?
Понятно, что использование межсайтового скриптинга относится к незаконным рекламным методам. Браузерные разработчики принимают меры к тому, чтобы не допустить внедрения вредоносного кода. Для этого в программах устанавливаются фильтры запрещенных символов. Если XSS атаке удалось пробраться через браузерную защиту, это все равно не сулит в дальнейшем ничего хорошего и может дать лишь очень краткосрочный эффект. Сайты, использующие межсайтовый скриптинг, как правило, банятся поисковыми системами и практически лишаются возможности подойти даже близко к ТОПу выдачи.
