Статьи

Що собою являє XSS-уразливість

  1. XSS: Уразливість для ін'єкції
  2. Типи XSS-вразливостей
  3. У чому небезпека XSS?

Що таке XSS-уразливість? Чи варто її боятися?

Міжсайтовий скриптинг (скорочено XSS) - широко поширена уразливість, яка зачіпає безліч веб-додатків. Вона дозволяє зловмисникові впровадити шкідливий код в веб-сайт таким чином, що браузер користувача, який зайшов на сайт, виконає цей код.

1. XSS: Уразливість для ін'єкції

2. Типи XSS-вразливостей

3. У чому небезпека XSS?

Зазвичай для експлуатації подібної уразливості потрібно певна взаємодія з користувачем: або його заманюють на заражений сайт за допомогою соціальної інженерії, або просто чекають, поки той сам відвідає даний сайт. Тому розробники часто не сприймають всерйоз XSS-уразливість. Але якщо їх не усувати, це може нести серйозну загрозу безпеці.

Уявімо, що ми знаходимося в панелі адміністратора WordPress, додаємо новий контент. Якщо ми використовуємо для цього вразливий до XSS плагін, він може змусити браузер створити нового адміністратора, видозмінити контент і виконати інші шкідливі дії.

Міжсайтовий скриптинг надає зловмисникові практично повний контроль над найважливішим програмним забезпеченням в наші дні - браузером.

XSS: Уразливість для ін'єкції

Будь-який веб-сайт або додаток має кілька місць введення даних -пол форми до самого URL. Найпростіший приклад даних, що вводяться - коли ми вписуємо ім'я користувача і пароль в форму:

Малюнок 1. Форма введення даних

Форма введення даних

Наше ім'я буде зберігатися в базі даних сайту для подальшої взаємодії з нами. Напевно, коли ви проходили авторизацію на будь-якому сайті, ви бачили персональне привітання в стилі «Ласкаво просимо, Ілля». Саме для таких цілей імена користувачів зберігаються в базі даних.

Ін'єкцією називається процедура, коли замість імені або пароля вводиться спеціальна послідовність символів, що змушує сервер або браузер відреагувати певним, за потрібне зловмисникові чином.

Міжсайтовий Скриптінг називається ін'єкція, що впроваджує код, який буде виконувати дії в браузері від імені веб-сайту. Це може відбуватися як з повідомленням користувача, так і в фоновому режимі, без його відома.

Малюнок 2. Наочна схема міжсайтового скриптинга

В якості найпростішого прикладу можна навести елементарний скрипт, який показує вікно з повідомленням. Виглядає він приблизно так:

Таблиця 1. Скрипт, що викликає спливаюче вікно

<Script> alert ( 'ЦЕ XSS- Вразливість !!!') </ script>

Даний скрипт викликає вікно з написом «ЦЕ XSS-Вразливість !!!». Браузер користувача сприймає і виконує цей скрипт як частина легітимного коду сайту.

Типи XSS-вразливостей

Не всі уразливості XSS однакові, їх існує безліч типів. Тут перераховані типи і способи їх взаємодії:

Малюнок 3. Типи XSS-вразливостей

Типи XSS-вразливостей

Уразливості, викликані кодом на стороні сервера (Java, PHP, .NET і т. Д.):

Традиційні XSS-атаки:

  1. Відображені (непостійні). Відображена XSS-атака спрацьовує, коли користувач переходить по спеціально підготовленої посиланням. Ці уразливості з'являються, коли дані, надані веб-клієнтом, найчастіше в параметрах HTTP-запиту або у формі HTML, виконуються безпосередньо серверними скриптами для синтаксичного аналізу і відображення сторінки результатів для цього клієнта, без належної обробки.
  2. Збережені (постійні). Збережені XSS можливі, коли зловмисникові вдається впровадити на сервер шкідливий код, що виконується в браузері кожен раз при зверненні до оригінальної сторінці. Класичним прикладом цієї уразливості є форуми, на яких дозволено залишати коментарі в HTML-форматі.

Уразливості, викликані кодом на стороні клієнта (JavaScript, Visual Basic, Flash і т. Д.):

Також відомі як DOM-моделі:

  1. Відображені (непостійні). Те ж саме, що і у випадку з серверної стороною, тільки в цьому випадку атака можлива завдяки тому, що код обробляється браузером.
  2. Збережені (постійні). Аналогічні збереженим XSS на стороні сервера, тільки в цьому випадку шкідлива складова зберігається на стороні клієнта, використовуючи сховище браузера.

Уразливості, викликані інфраструктурою (браузер, плагіни, сервера і т. Д.):

Зустрічаються дуже рідко, але є більш небезпечними:

  1. Інфраструктура на стороні клієнта. Відбувається, коли шкідлива складова виробляє будь-які маніпуляції з функціоналом браузера, наприклад з його XSS-фільтром і т.п.
  2. Інфраструктура на стороні сервера. Виникає, коли веб-сервер некоректно обробляє запити, дозволяючи модифікувати їх.
  3. Мережа. Відбувається, коли можливо потрапити в зв'язок між клієнтом і сервером.

Уразливості, викликані користувачем:

  1. Само-XSS. Часто відбувається в результаті соціальної інженерії, коли користувач випадково запускає шкідливий код в своєму браузері.

У чому небезпека XSS?

Як можна захистити свій сайт від XSS? Як перевірити код на наявність уразливості? Існують технології на кшталт Sucuri Firewall, спеціально розроблені для того, щоб уникнути подібних атак. Але якщо ви розробник, ви, безумовно, захочете дізнатися докладніше, як ідентифікувати і усунути XSS-уразливість. Про це ми поговоримо в наступній частині статті, присвяченій XSS.

Що таке XSS-уразливість?
Чи варто її боятися?
3. У чому небезпека XSS?
У чому небезпека XSS?
Як можна захистити свій сайт від XSS?
Як перевірити код на наявність уразливості?

Новости

Видео майнкрафт как создать сервер
Современные дымоходы - часть системы отвода продуктов горения от каминов, печей, котлов во внешнюю среду. Эффективность и правильная работа на 90% гарантируется правильно выбранным диаметром трубы дымохода

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в контакте видео
Социальные сети - неотъемлемая часть современной жизни. Их можно рассматривать не только как удобный способ связи с друзьями и интересную игрушку, но и как постоянно развивающийся и набирающий обороты

Финансовые новости мира
Вернуться в раздел Профессия экономист Экономисты востребованы в компаниях, где требуется контролировать расходы, правильно рассчитывать средства, где необходим постоянный анализ экономической деятельности

Транспортное средство закон
Пункт 1.5. ПДД гласит: «Участники дорожного движения должны действовать таким образом, чтобы не создавать опасности для движения и не причинять вреда», а в пункте 1.2. указано: «Участник дорожного движения»

Квест кімната дніпро
Законопроект о запрете посещения квестов детьми младше 14 лет прокомментировал один из самых популярных в России квест-агрегаторов. Поправки в городской закон о мерах по предупреждению причинения вреда

Труба в изоляции Valsir Pexal
На сегодняшний день имеется масса самых разных отделочных материалов, которые можно использовать, как внутри, так и снаружи помещения в качестве декоративного элемента, однако большинство из них имеет

Роллы
От того, как и чем мы питаемся зависит очень многое. Это и самочувствие и внешность и общее состояние здоровья. Несмотря на широкое предложение, вопросы правильного и вкусного питания стоят очень остро.

Дешевая доставка суши
Суши можно не только запивать, но и заедать: хорошо с суши сочетаются тэмпура (обжаренные в специальном кляре ломтики овощей, грибы или морепродукты), а также мисо-суп (суп, заправленный бобовой пастой).