Cross-site scripting-hyökkäyksiä (XSS) käytetään tietojen varastamiseen ja selausistuntojen kaappaamiseen, jotta hyökkääjät voivat toimia uhrin puolesta. Hyökkääjät voivat käyttää tätä mahdollisuutta verkkosivujen muuttamiseen, sosiaalisten tilien julkaisemiseen, tilisiirtojen aloittamiseen tai petollisten ostosten tekemiseen.
tämä tapahtuu huijaamalla sovelluksia ja verkkosivustoja lähettämään haitallisia skriptejä verkkoselaimen kautta. Yleisin tapa käyttäjätilaisuuksien haltuunotossa on koodin syöttäminen lomakkeilla tai muilla tiedonsyöttökentillä.
- XSS-hyökkäysten riskit
- riski käyttäjille
- riski yrityksille
- XSS-hyökkäystyypit
- heijastuneet XSS-hyökkäykset
- DOM-pohjaiset XSS-hyökkäykset
- pysyvät / tallennetut XSS-hyökkäykset
- XSS-hyökkäysten estäminen
- pidä ohjelmisto ajan tasalla
- Puhdista ja validoi syöttökentät
- Web application firewall
- Content security policy
XSS-hyökkäysten riskit
XSS-hyökkäykset aiheuttavat elintärkeitä tietoturvariskejä sekä käyttäjille että yrityksille.
riski käyttäjille
hyökkääjät, jotka kaappaavat käyttäjän istunnon, voivat tehdä useita haitallisia toimia, jotka vaikuttavat heihin. Rahallisesti he voivat tehdä petollisia maksuja käyttämällä pankkikorttejaan tai siirtää rahaa suoraan muille tileille.
XSS-hyökkäyksiä voidaan käyttää myös arkaluonteisten tietojen poimimiseen evästeistä ja tietokannoista. Näitä tietoja voidaan käyttää identiteettivarkauksiin.
riski yrityksille
jos hyökkääjä saa käsiinsä varastetut käyttäjätunnukset, ne voivat aiheuttaa tuhoa myös liiketoiminnalle. Jos käyttäjällä on järjestelmänvalvojan oikeudet, XSS-hyökkäys voi ulottua palvelinpuolelle.
yritykset voivat myös menettää uskottavuuttaan ja brändien luottamusta, jos XSS-hyökkäys tulee julkisuuteen. Käyttäjät ja asiakkaat eivät todennäköisesti palaa sivustolle, jos he tietävät, että heidän tietonsa voivat olla vaarassa.
XSS-hyökkäystyypit
heijastuneet XSS-hyökkäykset
heijastuneissa XSS-hyökkäyksissä haitalliset skriptit ruiskutetaan suoraan HTTP-pyyntöön. Skripti heijastuu palvelimelta HTTP-vastauksessa ja suoritetaan sitten käyttäjän selaimessa. Tämä on yksinkertaisin tyyppi XSS hyökkäys.
DOM-pohjaiset XSS-hyökkäykset
Document-object model (DOM) – pohjaiset hyökkäykset eivät vaadi vuorovaikutusta palvelimen kanssa. Haavoittuvuus on selainpuolen skripti. Verkkosovellukset lukevat haitallisen komentosarjan suoraan kyselymerkkijonosta. Ne muistuttavat tällä tavalla heijastuneita XSS-hyökkäyksiä.
pysyvät / tallennetut XSS-hyökkäykset
pysyvät, myös tallennetut XSS-hyökkäykset ovat vaarallisin hyökkäystyyppi, koska ne voivat vaikuttaa jokaiseen sivustolla vierailevaan käyttäjään. Tällöin skriptit syötetään tietokantaan lomakenttien kautta.
skripti tallennetaan tämän jälkeen toistaiseksi sivuston tietokantaan. Jokainen käyttäjä, joka sitten tulee sivustolle, on altis saamaan istuntonsa kaapatuksi.
XSS-hyökkäysten estäminen
on olemassa useita varotoimia, joihin voit ryhtyä XSS-hyökkäysten estämiseksi.
pidä ohjelmisto ajan tasalla
ohjelmisto on aina pidettävä ajan tasalla monista syistä, kuten vikojen korjaamisesta, suorituskyvyn parantamisesta, uusien ominaisuuksien asentamisesta ja tietoturvahaavoittuvuuksien paikkaamisesta. Ohjelmiston säännöllinen päivittäminen vähentää huomattavasti haavoittuvuuksia, jotka jättävät sivuston tai sovelluksen avoimeksi XSS-haavoittuvuuksille.
sinun tulee myös tarkastaa kaikki hakemuksesi sen selvittämiseksi, mitä tarvitset ja mitä käytät harvoin. Eroon kaikista sovelluksista et käytä edelleen vähentää haavoittuvuuksia.
Puhdista ja validoi syöttökentät
syöttökentät ovat XSS-hyökkäyskriptien yleisin syöttöpiste. Siksi, sinun pitäisi aina seuloa ja vahvistaa Kaikki tiedot syöttää tietokenttiä. Tämä on erityisen tärkeää, jos tiedot sisällytetään HTML-ulostulona suojaamaan heijastuneilta XSS-hyökkäyksiltä.
validoinnin tulee tapahtua sekä asiakas-että palvelinpuolella varotoimena. tietojen validointi ennen niiden lähettämistä palvelimille suojaa myös pysyviltä XSS-skripteiltä. Tämä voidaan toteuttaa käyttämällä Javascript.
Web application firewall
web application firewall (WAF) voi olla tehokas työkalu XSS-hyökkäyksiltä suojautumiseen. WAFs voi suodattaa botteja ja muuta haitallista toimintaa, joka voi viitata hyökkäykseen. Hyökkäykset voidaan estää ennen komentosarjan suorittamista.
Content security policy
content security policy (CSP) voi määritellä toiminnot, joita sivustolla saa suorittaa. Niitä voidaan käyttää estämään verkkosivustoa hyväksymästä mitään in-line-skriptejä. Tämä voi olla vahvin menetelmä käytettävissänne, koska se voi täysin estää XSS hyökkäykset tai ainakin merkittävästi vähentää niiden mahdollisuutta.