Уязвимость «смешанного скриптинга» возникает, когда страница, обслуживаемая по HTTPS, загружает скрипт, CSS или ресурс плагина по HTTP. Злоумышленник типа «человек посередине» (например, кто-то в той же беспроводной сети) обычно может перехватить загрузку ресурса HTTP и получить полный доступ к веб-сайту, загружающему ресурс. Это часто так плохо, как если бы веб-страница вообще не использовала HTTPS.
Исследователи безопасности и многие веб-разработчики хорошо понимают и ясно формулируют угрозу. Есть 3 простых шага, чтобы атаковать пользователя через уязвимость смешанного контента ...
1) Настройте атаку «Человек посередине». Это легче всего сделать в общественных сетях, например, в кофейнях или аэропортах.
2) Используйте уязвимость смешанного содержимого для внедрения вредоносного файла JavaScript. Вредоносный код запускается на веб-сайте HTTPS, к которому обращается пользователь. Ключевым моментом является то, что сайт HTTPS имеет смешанную уязвимость контента, что означает, что он выполняет контент, загруженный через HTTP. Именно здесь атака «Человек посередине» и уязвимость смешанного контента объединяются в опасный сценарий.
«Если какой-то злоумышленник может изменить файлы Javascript или таблицы стилей, он также может эффективно изменить другой контент на вашей странице (например, изменив DOM). Так что или все или ничего. Либо все ваши элементы обслуживаются с использованием SSL, тогда вы в безопасности. Или вы загружаете некоторые файлы Javascript или таблицы стилей из простого HTTP-соединения, и вы больше не защищены ».
3) Украсть личность пользователя (или делать другие плохие вещи).