Cross-site scripting-angreb bruges til at stjæle data og kapre gennemsøgningssessioner, så angribere kan handle på et offers vegne. Angribere kan benytte lejligheden til at ændre hjemmesider, skrive på sociale konti, indlede bankoverførsler eller foretage svigagtige køb.
dette opnås ved at narre applikationer og hjemmesider til at sende ondsindede scripts via Internettet. Den mest almindelige metode til at overtage brugersessioner er at injicere kode ved hjælp af formularfelter eller andre datainputfelter.
risiko for HSS-angreb
HSS-angreb udgør vigtige sikkerhedsrisici for både brugere og virksomheder.
risiko for brugere
angribere, der kaprer en brugers session, kan tage en række ondsindede handlinger, der påvirker dem. Monetært set kan de foretage svigagtige afgifter ved hjælp af deres bankkort eller direkte overføre penge til andre konti.
SSS-angreb kan også bruges til at udtrække følsomme oplysninger fra cookies og databaser. Disse oplysninger kan bruges til identitetstyveri.
risiko for virksomheder
hvis en angriber får fat i stjålne brugeroplysninger, kan de også skabe kaos for virksomheden. Hvis brugeren har administratorrettigheder, kan et angreb strække sig til serversiden.
virksomheder kan også lide af tab af troværdighed og brandtillid, hvis et angreb bliver offentligt kendt. Brugere og kunder er mere tilbøjelige til ikke at vende tilbage til et sted, hvis de ved, at deres oplysninger kan være i fare.
typer af HSS-angreb
reflekterede HSS-angreb
i reflekterede HSS-angreb injiceres ondsindede scripts direkte i en HTTP-anmodning. Scriptet reflekteres fra serveren i et HTTP-svar og udføres derefter i en brugers bro.ser. Dette er den enkleste type angreb.
DOM-baserede angreb
DOM-baserede angreb kræver ingen interaktion med serveren. Sårbarheden er scriptet. Læs det ondsindede script direkte fra en forespørgselsstreng. De ligner på denne måde reflekterede KSS-angreb.
vedvarende/lagrede HSS-angreb
vedvarende, også kendt som lagrede, HSS-angreb er den farligste type angreb, fordi de har potentialet til at påvirke enhver bruger, der besøger siden. I dette tilfælde injiceres scripts i en database gennem formularfelter.
scriptet gemmes derefter på ubestemt tid i hjemmesidens database. Hver bruger, der derefter kommer ind på siden, er sårbar over for at få deres session kapret.
Sådan forhindres angreb
der er en række forholdsregler, du kan tage for at forhindre angreb.
hold programmer opdaterede
programmer bør altid holdes opdaterede af mange årsager, herunder rettelse af fejl, forbedring af ydeevnen, installation af nye funktioner og rettelse af sikkerhedssårbarheder. Regelmæssig opdatering af programmer vil i høj grad reducere de sårbarheder, der efterlader et sted eller en applikation åben for sårbarheder.
du bør også revidere alle dine applikationer for at bestemme, hvilke du har brug for, og som du sjældent bruger. Slip af med alle de apps, du ikke bruger til yderligere at reducere antallet af sårbarheder.
Rens og valider inputfelter
inputfelter er det mest almindelige indgangssted for angrebsscripts. Derfor bør du altid screene og validere alle oplysninger input til datafelter. Dette er især vigtigt, hvis dataene vil blive inkluderet som HTML-output for at beskytte mod reflekterede HSS-angreb.
Validering bør ske på både klientsiden og serversiden som en ekstra forholdsregel. validering af dataene, før de sendes til servere, beskytter også mod vedvarende KSS-scripts. Dette kan opnås ved hjælp af Javascript.
internetapplikation brandvæg
en internetapplikation brandvæg kan være et kraftfuldt værktøj til beskyttelse mod angreb. Vafler kan filtrere bots og anden ondsindet aktivitet, der kan indikere et angreb. Angreb kan derefter blokeres, før et script udføres.
indholdssikkerhedspolitik
en indholdssikkerhedspolitik (CSP) kan definere de funktioner, en hjemmeside har lov til at udføre. De kan bruges til at forhindre en hjemmeside i at acceptere in-line scripts. Dette kan være den stærkeste metode til din rådighed, da den helt kan blokere angreb eller i det mindste i høj grad reducere muligheden for dem.