XSS-уязвимость - что такое

Cross Site Scripting или XSS-атака (дословный перевод - межсайтовый скриптинг) - разновидность уязвимости веб-ресурсов, которая возникает, когда хакерские скрипты оказываются и выполняются на страничках сайта. По актуальным статистическим данным, на такой вид атак приходится около 15% всех кибер-преступлений.

xss атака пример что

Использование XSS открывает хакерам файлы куки и иные конфиденциальные данные пользователей, усложняет работу посетителя с ресурсом или помогает внедрить вирус (вредоносный код) в ОС. Поэтому при создании и продвижении ресурсов необходимо предусматривать методы противодействия подобным угрозам.


 

Что такое XSS простыми словами

Межсайтовый скриптинг (XSS) - это проблема, которая позволяет внедрить код на стороне клиента, например, JavaScript, на сайт, который просматривают другие люди.

XSS уязвимость пример и как это работает

Целью межсайтового скриптинга является похищение cookies пользователей с помощью заранее запрограммированного скрипта на сервере. Затем система получает желаемую информацию и применяет ее для будущих атак и взломов. Преступник не нацеливается непосредственно на жертв, а скорее обнаруживает слабые места в посещаемой ими веб-странице, а затем вставляет специальный JavaScript. Этот код представляется пользователю как раздел веб-сайта, тем самым заставляя веб-сайт участвовать в XSS-атаке.

XSS не так опасен для сервера, как SQL-инъекция, но он может быть опасен для тех, кто использует пораженный источник или веб-страницу. Тем не менее, если хакеру удастся получить доступ к cookies администратора, он сможет проникнуть в панель управления и хранящийся в ней контент."

 

Разновидности XSS

По исполнению межсайтовые скриптинги могут быть пассивными либо активными. В последнем случае опасные скрипты размещают на сервере веб-ресурса, они выполняются браузером при доступе к любой из его страниц. Для активизации пассивных XSS необходимы определенные действия от пользователя, к примеру, переход по созданной ссылке.

По каналам внедрения скрипта, XSS-уязвимости бывают:

с применением HTML-тегов в постах для форматирования текстового содержания. При поверхностной фильтрации таких сообщений, в них нередко упускается из виду тег <script>, который отправляет злоумышленнику куки пользователя, к примеру, при навигации по форуму или открытии в браузере любых ссылок. Чтобы защититься от подобных угроз, необходимо удалять все лишние теги, за исключением регламентированных;

пробелы с фильтрацией допустимых тегов: значений и наименований атрибутов. Опасный скрипт внедряется, предположим, в тег img. Чтобы исключить подобную угрозу, необходимо использовать жесткую фильтрацию тегов, запретить использование javascript и data в ссылках;

изменение кода в Title. Чтобы не допустить эту угрозу, в рамках поисковой оптимизации ресурса кодировка страницы задается до полей, заполняемых пользователем.

 

Также межсайтовые скриптинги бывают отложенными (код находится в системе какое-то время, а внедрение в страницу осуществляется с временным лагом) и моментальными (скрипт выполняется сразу в качестве ответа на действия пользователя).

Атаки межсайтового скриптинга (XSS) происходят, когда:

  1. Данные поступают в веб-приложение через ненадежный источник, чаще всего через веб-запрос.
  2. Данные включаются в динамическое содержимое, которое отправляется веб-пользователю без проверки на наличие вредоносного содержимого.

 

Вредоносный контент, отправляемый в веб-браузер, часто принимает форму сегмента JavaScript, но может также включать HTML, Flash или любой другой тип кода, который браузер может выполнять. Разнообразие атак, основанных на XSS, практически безгранично, но обычно они включают в себя передачу злоумышленнику личных данных, таких как файлы cookie или другой информации сеанса, перенаправление жертвы на веб-контент, контролируемый злоумышленником, или выполнение других вредоносных операций на машине пользователя. под видом уязвимого сайта.



 

 

Сохраненные и отраженные XSS-атаки

XSS-атаки обычно можно разделить на две категории: сохраненные и отраженные. Существует третий, гораздо менее известный тип XSS-атаки, называемый XSS на основе DOM, который обсуждается отдельно.

 

Сохраненные атаки XSS

Сохраненные атаки - это атаки, при которых внедренный сценарий постоянно хранится на целевых серверах, например, в базе данных, в форуме сообщений, журнале посетителей, поле комментариев и т. Д. Затем жертва извлекает вредоносный сценарий с сервера, когда запрашивает сохраненный Информация. Сохраненный XSS также иногда называют постоянным или XSS типа I.

 

Отраженные XSS-атаки

Отраженные атаки - это атаки, при которых внедренный сценарий отражается от веб-сервера, например в сообщении об ошибке, в результате поиска или в любом другом ответе, который включает некоторые или все входные данные, отправленные на сервер как часть запроса. Отраженные атаки доставляются жертвам другим путем, например, в сообщении электронной почты или на другом веб-сайте. Когда пользователя обманом заставляют щелкнуть вредоносную ссылку, отправить специально созданную форму или даже просто перейти на вредоносный сайт, внедренный код перемещается на уязвимый веб-сайт, что отражает атаку обратно в браузер пользователя. Затем браузер выполняет код, потому что он пришел с «доверенного» сервера. Отраженный XSS также иногда называют непостоянным или XSS типа II.

 

Другие типы уязвимостей XSS

Помимо Stored и Reflected XSS, еще один тип XSS, XSS на основе DOM, был идентифицирован Амитом Кляйном в 2005 году . OWASP рекомендует категоризацию XSS, как описано в статье OWASP: Типы межсайтовых сценариев , которая охватывает все эти термины XSS, организуя их в матрицу сохраненных и отраженных XSS и серверных и клиентских XSS, где XSS на основе DOM является подмножество Client XSS.

 

Последствия XSS-атак

Последствия атаки XSS одинаковы, независимо от того, сохраняется она или отражается ( или на основе DOM.). Разница в том, как полезная нагрузка попадает на сервер. Не дайте себя обмануть, думая, что сайт «только для чтения» или сайт «брошюра» не уязвим для серьезных отраженных XSS-атак. XSS может вызвать множество проблем для конечного пользователя, серьезность которых варьируется от раздражения до полной компрометации учетной записи. Наиболее серьезные атаки XSS включают раскрытие файла cookie сеанса пользователя, что позволяет злоумышленнику захватить сеанс пользователя и завладеть учетной записью. Другие вредоносные атаки включают раскрытие файлов конечного пользователя, установку программ троянских коней, перенаправление пользователя на какую-либо другую страницу или сайт или изменение представления контента. XSS-уязвимость, позволяющая злоумышленнику изменять пресс-релиз или новость, может повлиять на стоимость акций компании или снизить доверие потребителей. XSS-уязвимость на фармацевтическом сайте может позволить злоумышленнику изменить информацию о дозировке, что приведет к передозировке. Подробнее об этих типах атак см. Content_Spoofing.

 

Как определить, что вы уязвимы

Недостатки XSS могут быть трудными для выявления и удаления из веб-приложения. Лучший способ найти недостатки - это выполнить проверку безопасности кода и найти все места, где входные данные HTTP-запроса могут попасть в выходные данные HTML. Обратите внимание, что для передачи вредоносного кода JavaScript могут использоваться различные HTML-теги. Nessus, Nikto и некоторые другие доступные инструменты могут помочь сканировать веб-сайт на предмет этих недостатков, но могут только поверхностно. Если одна часть веб-сайта уязвима, высока вероятность того, что есть и другие проблемы.

 

Как защитить себя

Основные средства защиты от XSS описаны в шпаргалке по предотвращению XSS OWASP .

Кроме того, очень важно отключить поддержку HTTP TRACE на всех веб-серверах. Злоумышленник может украсть данные cookie через Javascript, даже если document.cookie отключен или не поддерживается клиентом. Эта атака устанавливается, когда пользователь публикует вредоносный скрипт на форуме, поэтому, когда другой пользователь щелкает ссылку, запускается асинхронный вызов HTTP Trace, который собирает информацию cookie пользователя с сервера, а затем отправляет ее на другой вредоносный сервер, который собирает информация cookie, чтобы злоумышленник мог организовать атаку с перехватом сеанса. Это легко устранить, удалив поддержку HTTP TRACE на всех веб-серверах.

В рамках проекта OWASP ESAP был разработан набор повторно используемых компонентов безопасности на нескольких языках, включая процедуры проверки и экранирования для предотвращения подделки параметров и внедрения XSS-атак. Кроме того, в обучающем приложении OWASP WebGoat Project есть уроки по межсайтовому скриптингу и кодированию данных.

 

Альтернативный синтаксис XSS

XSS с использованием скрипта в атрибутах

XSS-атаки могут проводиться без использования <script>...</script> тегов. Другие теги будут делать то же самое, например: <body onload=alert('test1')>или другие атрибуты, такие как: onmouseover, onerror.

при наведении мыши

<b onmouseover=alert('Wufff!')>click me!</b>

ошибка

<img data-lazy-src="http://url.to.file.which/not.exist" onerror=alert(document.cookie);>

XSS с использованием сценария через закодированные схемы URI

Если нам нужно спрятаться от фильтров веб-приложений, мы можем попытаться закодировать строковые символы, например: a=&\#X41(UTF-8) и использовать их в IMGтегах:

<IMG SRC=jAvascript:alert('test2')>

Существует множество различных нотаций кодировки UTF-8, которые дают нам еще больше возможностей.

XSS с использованием кодирования кода

Мы можем закодировать наш скрипт в base64 и поместить его в METAтег. Таким образом мы alert()полностью избавляемся от . Более подробную информацию об этом методе можно найти в RFC 2397.

<META HTTP-EQUIV="refresh"

CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgndGVzdDMnKTwvc2NyaXB0Pg">

 

Индексация XSS

При раскрутке в поисковиках, наличие XSS может затруднять нормальную индексацию ресурса, из-за генерации многочисленных страничек. Запретить их добавление в индекс поисковыми ботами можно с помощью прописывания инструкций в файле Роботс.

Оцените статью: 4.5 (6)
Следующая статья: Ссылочные факторы ранжирования
Предыдущая статья: Каталоги сайтов: предназначение, условия регистрации, новые коммерческие форматы
При заказе
продвижения
Скидка на
разработку
сайта
Заказать
Приведи
друга
получи
скидку
Подробнее
Специальное
предложение
против
вируса
Получить кп
SEO на экспорт

Эта книга о том, для чего, кому и как именно нужно выходить за рамки Рунета. В книге мы рассмотрели практические аспекты продвижения сайта в Буржунете, раскрыли характерные отличия от «раскрутки» сайта в России.

SEO на экспорт
SEO на экспорт

Эта книга о том, для чего, кому и как именно нужно выходить за рамки Рунета. В книге мы рассмотрели практические аспекты продвижения сайта в Буржунете, раскрыли характерные отличия от «раскрутки» сайта в России.

В книге вы найдете развенчание некоторых распространенных мифов, ответы на основные вопросы о том, где брать англоязычный контент, как работает Google за рубежом, тонкости работы с инструментарием продвижения, будущее ссылочного ранжирования и многое другое.

Читать дальше
Последний SEO-чеклист

Эта книга - самый обширный и затрагивающий ключевые аспекты работы сеошника чек-лист. С одной стороны - это пособие для обучения и проверки собственных знаний в сфере SEO-оптимизации и продвижения. С другой - это должностная инструкция и инструмент контроля для руководителя, который легко поймет, что нужно требовать от квалифицированного SEO-специалиста.

Последний SEO-чеклист
Последний SEO-чеклист

Эта книга - самый обширный и затрагивающий ключевые аспекты работы сеошника чек-лист. С одной стороны - это пособие для обучения и проверки собственных знаний в сфере SEO-оптимизации и продвижения. С другой - это должностная инструкция и инструмент контроля для руководителя, который легко поймет, что нужно требовать от квалифицированного SEO-специалиста.

В книге предложены чек-листы по основным видам работ в сфере поискового продвижения, включая подготовительную работу, формирование семантики, техническую оптимизацию, наращивание ссылочной массы, проверку коммерческих факторов, контент-маркетинг и базовые моменты SMM.

Читать дальше
Черная книга про белый PR

Это книга об управлении репутацией в интернете, в которой рассмотрены главные технологии этого направления деятельности, затронуты этические и глобальные аспекты современного информационного общества. В ней рассмотрена работа с основными сервисами мониторинга, раскрыты правила отработки негатива и создания позитива о бренде, главные инструменты SERM, предложен чек-лист для самостоятельной работы и многое другое.

Черная книга про белый PR
Черная книга про белый PR

Это книга об управлении репутацией в интернете, в которой рассмотрены главные технологии этого направления деятельности, затронуты этические и глобальные аспекты современного информационного общества. В ней рассмотрена работа с основными сервисами мониторинга, раскрыты правила отработки негатива и создания позитива о бренде, главные инструменты SERM, предложен чек-лист для самостоятельной работы и многое другое.

Книга будет интересна владельцам бизнеса и публичным людям, пиарщикам, маркетологам, SEO-специалистам и всем пользователям сети, которые задумываются о вопросах имиджа и репутации.

Читать дальше
Обучение основам копирайтинга

Об эре контента в интернете не рассказывают только ленивые. Без адекватных текстов сегодня не станут успешны как информационные порталы, так и интернет-магазины в большинстве ниш.

Обучение основам копирайтинга
Обучение основам копирайтинга

Об эре контента в интернете не рассказывают только ленивые. Без адекватных текстов сегодня не станут успешны как информационные порталы, так и интернет-магазины в большинстве ниш.

Вместе с тем большой спрос на копирайтеров и перспективы солидных заработков настолько велики, что обучаться профессии хотят чуть ли не все от мала (старшеклассников и выпускников школ) до велика (пенсионеров и пожилых людей, освоивших азы владения ПК).

Читать дальше
Комментарии
Показать сначала:
Новые Старые
Евгения
23.09.2021, 23:22
1
–  0
Я где-то читала, чтобы обезопасить себя от подобных атак, необходимо обязательно установить на своем сайте систему информационной безопасности. В первую очередь нужно проверить все настройки. Но это не значит, что потенциальная уязвимость будет выявлена. Но если фиксировать все изменения, которые были добавлены на сайт, то возможно что-то проявится. Лучше всего создать несколько файлов. Например, с расширением .htaccess и .htpasswd. В файле htaccess необходимо указать параметры для доступа к базам данных и к файлу базы данных. В целом кибербезопасность - один из самых трудных моментов при выведении бизнеса в интернет. Приходиться доверять спецам, не имея возможности хоть как-то повлиять на результат.
Виктор
22.05.2016, 17:43
0
–  0
Спасибо за освещение вопроса, но чайник в этой сфере, подскажите пжлст способы прописывания инструкций в файле Робот. Спасибо!
Слава
26.12.2015, 12:24
0
–  0
Хороший совет если честно. раньше ни когда не мог подумать, что из за XSS может тормозить индексация сайта.
Написать комментарий
captcha

Новые исследования

2022-12-16 00:00:00

Вы не поверите: что случилось с Яндексом и загадочным Ya.ru

Тяжело проглотить пилюлю, но траектория развития SERP и оптимизации Яндексом своих поисковых алгоритмов окончательно сошла на нет. Почти невозможно представить, что когда-то давно они стремились разработать алгоритмы и инструменты машинного обучения для улучшения результатов поиска. А, помните этот милый слоган: «Яндекс — найдется все»? Да, теперь он остался в прошлом; это было более простое время… время, когда Яндекс был главным помощником во всем, что касалось поиска. Увы, после 25 лет новаторского прогресса эпоха Яндекса закончилась.

Читать 6

2021-07-11 00:00:00

Продуктовый подход - как кратно увеличить продажи с помощью SEO

Поиски лучших способов продвинуть интернет-магазины, увеличить продажи, конверсии, сумму среднего чека и прочего, привели к рождению “продуктового подхода”. Суть метода заключается в оптимизации процесса реализации всех запланированных мероприятий. На пути к достижению бизнес-целей устраняются лишние этапы и задачи, используется ограниченный набор инструментов. Подробнее о методе далее.

Читать 67
Больше исследований

Интервью и мнения SEO-гуру

Для глубокого погружения в профессию оптимизатора, мы настоятельно рекомендуем совмещать чтение с просмотром видео.

Евгений Аралов: главные прогнозы на 2020 (сервисы и методы)

Далеко не каждый специалист может быстро и качественно продвинуть сайт в непростой тематике. Например, букмекерская площадка для ставок в спорте, где SEO чуть ли не ед...

Анализ SEO для СМИ: ведущий эксперт отрасли Галина Бакушева

Для одних Галина Бакушева ассоциируется с каналом Телеграм «Сеошница», для других, она создатель собственного ТВ на фейсбук. Однако такая популярность не г...

Ксения Пескова: качественный продукт приятно рассматривать даже краулерам

Всего два года потребовалось, чтобы стажер SiteClinic, Ксения Пескова, стала не просто тимлидом компании, но и трастовым экспертом в области SEO. Все началось почти ср...

Кирилл Рамирас: лучшие рекомендации по ведению блога для ИМ

Кирилл Рамирас интересен владельцам бизнеса в сети своими успешными проектами, опытом работы в SEO с 2007 года. Регулярное обновление публикаций на Altblog.ru &nd...

Алексей Алексеич: рост и боль в продвижении 2020 - какие прогнозы сбылись?

Сам о себе говорит, что он точно не Андрей, любит котов и смотрит «Битву Престолов». Если серьезно, эксперту 25 лет и с 2011 года основательно занимается с...

Андрей Буйлов: проблемы seo клиента не волнуют!

Андрей Буйлов – известный в сети эксперт по SEO продвижению сайтов. Свою карьеру начинал в конце 90-х. Тогда будущий спикер разнообразных конференций, семинаров ...

Все интервью
Нам доверяют крупные международные компании

Была ли статья для вас полезна?

Что вы хотите добавить или изменить?

В прошлый раз вы начали заполнять форму заявки, но не закончили. Мы сохранили ваши данные, хотите продолжить оформление заявки?   Продолжить... X

Начало – половина дела

Наша анкета достаточно проста и не отнимет у вас много времени.
Нужно просто правильно и вдумчиво заполнить все поля.

Иконка Звезда Иконка Звезда Иконка Звезда

Форма заполнена на 0%

Базовые данные

Адрес вашего сайта *

Иконка Сохранено

Ваш телефон или e-mail *

Иконка Сохранено

Выберите необходимую услугу *