Cross-site scripting útoky (XSS) se používají ke krádeži dat a únosu procházení relací, takže útočníci mohou jednat jménem oběti. Útočníci mohou využít této příležitosti ke změně webových stránek, zveřejňování příspěvků na sociálních účtech, zahájení bankovních převodů nebo podvodných nákupů.
toho je dosaženo podváděním aplikací a webových stránek do odesílání škodlivých skriptů prostřednictvím webového prohlížeče. Nejběžnější metodou pro převzetí uživatelských relací je vložení kódu pomocí polí formuláře nebo jiných polí pro zadávání dat.
rizika útoků XSS
útoky XSS představují zásadní bezpečnostní rizika pro uživatele i podniky.
riziko pro uživatele
útočníci, kteří unesou relaci uživatele, mohou podniknout řadu škodlivých akcí, které je ovlivňují. Monetárně řečeno, mohou provádět podvodné poplatky pomocí svých bankovních karet nebo přímo převádět peníze na jiné účty.
XSS útoky lze také použít k extrahování citlivých informací z cookies a databází. Tyto informace lze použít pro krádež identity.
riziko pro podniky
pokud útočník získá ukradené přihlašovací údaje uživatele, může způsobit zmatek i pro podnikání. Pokud má uživatel administrátorská práva, může se útok XSS rozšířit na stranu serveru.
podniky mohou také trpět ztrátou důvěryhodnosti a důvěry značky, pokud se útok XSS stane veřejně známým. Uživatelé a zákazníci se s větší pravděpodobností nevrátí na web, pokud vědí, že jejich informace mohou být ohroženy.
typy útoků XSS
odráží útoky XSS
v odrazených útocích XSS jsou škodlivé skripty injektovány přímo do požadavku HTTP. Skript se odráží ze serveru v odpovědi HTTP a poté se spustí v prohlížeči uživatele. Jedná se o nejjednodušší typ útoku XSS.
DOM-based XSS útoky
Document-object model (DOM) založené útoky nevyžadují žádnou interakci se serverem. Chyba zabezpečení je skript na straně prohlížeče. Webové aplikace čtou škodlivý skript přímo z řetězce dotazu. Jsou tímto způsobem podobné odrazeným útokům XSS.
trvalé / uložené XSS útoky
trvalé, také známé jako uložené, XSS útoky jsou nejnebezpečnějším typem útoku, protože mají potenciál ovlivnit každého uživatele, který navštíví web. V tomto případě jsou skripty injektovány do databáze prostřednictvím polí formuláře.
skript je pak uložen na dobu neurčitou v databázi webových stránek. Každý uživatel, který poté vstoupí na web, je náchylný k únosu relace.
jak zabránit útokům XSS
existuje řada opatření, která můžete podniknout, abyste zabránili útokům XSS.
Udržujte software aktuální
Software by měl být vždy aktualizován z mnoha důvodů, včetně oprav chyb, Zlepšení výkonu, instalace nových funkcí a opravy bezpečnostních chyb. Pravidelná aktualizace softwaru výrazně sníží zranitelnosti, které ponechávají web nebo aplikaci otevřenou zranitelnostem XSS.
měli byste také zkontrolovat všechny své aplikace, abyste zjistili, které potřebujete a které zřídka používáte. Zbavte se všech aplikací, které nepoužíváte, abyste dále snížili počet zranitelností.
dezinfikovat a ověřovat vstupní pole
vstupní pole jsou nejběžnějším bodem vstupu pro útočné skripty XSS. Proto byste měli vždy prověřovat a ověřovat veškeré informace zadané do datových polí. To je zvláště důležité, pokud budou data zahrnuta jako výstup HTML, aby byla chráněna před odraženými útoky XSS.
ověření by mělo probíhat jak na straně klienta, tak na straně serveru jako další preventivní opatření. ověření dat před jejich odesláním na servery bude také chránit před přetrvávajícími skripty XSS. Toho lze dosáhnout pomocí JavaScriptu.
brána firewall webových aplikací
brána firewall webových aplikací (WAF) může být výkonným nástrojem pro ochranu před útoky XSS. WAFs mohou filtrovat roboty a další škodlivé aktivity, které mohou naznačovat útok. Útoky pak mohou být blokovány před provedením libovolného skriptu.
zásady zabezpečení obsahu
zásady zabezpečení obsahu (CSP) mohou definovat funkce, které mohou webové stránky provádět. Mohou být použity k zabránění tomu, aby web přijímal jakékoli in-line skripty. To může být nejsilnější metoda, kterou máte k dispozici, protože může zcela blokovat útoky XSS nebo alespoň výrazně snížit jejich možnost.