Как гласит Wiki:
| Цитата |
| Обфуска́ция (от лат. obfuscare — затенять, затемнять; и англ. obfuscate — делать неочевидным, запутанным, сбивать с толку) или запутывание кода — приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. |
Обфускатор очень удобен для обхода различных фильтров в XSS уязвимости.
XSS уязвимость, является на данный момент, наиболее распространенной дыркой, которой пренебрегаются даже гиганты интернет индустрии, такие как mail, vk, facebook, twitter и др. Правда некоторые из перечисленных компаний, получая сообщения о обнаруженной xss, стараются в короткие сроки прикрыть, а кому то нет дела до каких то погрешностей. Но данная возможность является мнимой погрешностью, так как xss уязвимость предоставляет огромные возможности для действий. На одном из форумов, мне приходилось цитировать пару высказываний по поводу пренебрежения xss уязвимосью:
| Цитата |
| Не вдаваясь в сложные технические подробности, следует знать, когда XSS-атака на уязвимое веб-приложение может иметь серьезные последствия. Многие владельцы сайтов пренебрегают XSS, полагая, что с его помощью нельзя похитить конфиденциальные данные, которые находятся на сервере. Это распространенная ошибка — последствия XSS, направленного против приложения и клиентов, могут быть крайне серьезными, как для работы самого приложения, так и для бизнеса. Интернет-бизнес не может позволить себе потерять доверие существующих и будущих клиентов просто потому, что никто не смог признаться в том, что их сайт действительно уязвим для XSS-атак. Как ни странно, некоторые владельцы сайтов выступали с громкими заявлениями о том, что уязвимость для XSS-атак не представляет значительной опасности. Хакеры часто воспринимали это как личный вызов, в результате чего владелец сайта был вынужден разбираться с поврежденным приложением и потерей доверия клиентов. |
| Цитата |
XSS-атаки обычно используются в следующих преступных целях:
- Кража аккаунта;
- Получение доступа к защищенным или конфиденциальным данным;
- Получение бесплатного доступа к платному контенту;
- Слежение за посещением сайтов пользователем;
- Изменение настроек браузера;
- Публичная клевета в адрес отдельного лица или корпорации;
- Повреждение веб-приложения;
- DOS-атаки
|
Изучить наиболее удачный пример xss зависимостей можно на
habrahabr.ru
Так же наиболее удачный инструмент для обфускации использую
http://www.javascriptobfuscator.com/default.aspx
