ataki typu Cross-site scripting (XSS) służą do kradzieży danych i przejmowania sesji przeglądania, aby atakujący mogli podjąć działania w imieniu ofiary. Napastnicy mogą skorzystać z tej okazji, aby zmienić strony internetowe, publikować na kontach społecznościowych, inicjować przelewy bankowe lub dokonywać fałszywych zakupów.
osiąga się to poprzez nakłanianie aplikacji i stron internetowych do wysyłania złośliwych skryptów przez przeglądarkę internetową. Najczęstszą metodą przejmowania sesji użytkownika jest wstrzykiwanie kodu za pomocą pól formularza lub innych pól wprowadzania danych.
ryzyko ataków XSS
ataki XSS stanowią istotne zagrożenie bezpieczeństwa zarówno dla użytkowników, jak i firm.
ryzyko dla użytkowników
atakujący, którzy przejmują sesję użytkownika, mogą podjąć szereg szkodliwych działań, które ich dotyczą. Mówiąc monetarnie, mogą dokonywać fałszywych opłat za pomocą swoich kart bankowych lub bezpośrednio przelewać pieniądze na inne konta.
ataki XSS mogą być również wykorzystywane do wyodrębniania poufnych informacji z plików cookie i baz danych. Informacje te mogą być wykorzystane do kradzieży tożsamości.
ryzyko dla firm
jeśli atakujący zdobędzie skradzione dane uwierzytelniające użytkownika, może również siać spustoszenie w firmie. Jeśli użytkownik ma uprawnienia administratora, atak XSS może rozciągnąć się na stronę serwera.
firmy mogą również cierpieć z powodu utraty wiarygodności i zaufania do marki, jeśli atak XSS stanie się publicznie znany. Użytkownicy i klienci częściej nie wracają do witryny, jeśli wiedzą, że ich Informacje mogą być zagrożone.
typy ataków XSS
odbijane ataki XSS
w przypadku odbijanych ataków XSS złośliwe skrypty są wstrzykiwane bezpośrednio do żądania HTTP. Skrypt jest odbijany od serwera w odpowiedzi HTTP, a następnie wykonywany w przeglądarce użytkownika. Jest to najprostszy typ ataku XSS.
ataki XSS oparte na DOM
ataki oparte na modelu obiektowym dokumentu (DOM) nie wymagają interakcji z serwerem. Luka jest skrypt po stronie przeglądarki. Aplikacje internetowe odczytują złośliwy skrypt bezpośrednio z ciągu zapytania. Są one podobne w ten sposób do odbijanych ataków XSS.
trwałe / przechowywane ataki XSS
trwałe, znane również jako przechowywane, ataki XSS są najbardziej niebezpiecznym rodzajem ataku, ponieważ mogą wpłynąć na każdego Użytkownika odwiedzającego witrynę. W takim przypadku skrypty są wstrzykiwane do bazy danych za pomocą pól formularza.
skrypt jest następnie przechowywany w nieskończoność w bazie danych serwisu. Każdy użytkownik, który następnie wchodzi na stronę, jest podatny na przejęcie sesji.
jak zapobiegać atakom XSS
istnieje wiele środków ostrożności, które możesz podjąć, aby zapobiec atakom XSS.
Aktualizuj oprogramowanie
oprogramowanie powinno być zawsze aktualne z wielu powodów, w tym z naprawiania błędów, poprawy wydajności, instalowania nowych funkcji i łatania luk w zabezpieczeniach. Regularne aktualizowanie oprogramowania znacznie zmniejszy luki w zabezpieczeniach, które pozostawiają witrynę lub aplikację otwartą na luki w zabezpieczeniach XSS.
powinieneś również przeprowadzić audyt wszystkich aplikacji, aby określić, których potrzebujesz, a których rzadko używasz. Pozbądź się wszystkich aplikacji, których nie używasz, aby jeszcze bardziej zmniejszyć liczbę luk w zabezpieczeniach.
Czyszczenie i Walidacja pól wejściowych
pola wejściowe są najczęstszym punktem wejścia dla skryptów ataku XSS. Dlatego zawsze należy sprawdzać i sprawdzać wszelkie informacje wprowadzane w polach danych. Jest to szczególnie ważne, jeśli dane zostaną dołączone jako wyjście HTML w celu ochrony przed odbitymi atakami XSS.
Walidacja powinna nastąpić zarówno po stronie klienta, jak i po stronie serwera jako dodatkowy środek ostrożności. walidacja danych przed ich wysłaniem na serwery będzie również chroniła przed trwałymi skryptami XSS. Można to osiągnąć za pomocą Javascript.
zapora aplikacji internetowych
zapora aplikacji internetowych (WAF) może być potężnym narzędziem do ochrony przed atakami XSS. WAFs może filtrować boty i inne złośliwe działania, które mogą wskazywać na atak. Ataki mogą być blokowane przed wykonaniem jakiegokolwiek skryptu.
Polityka Bezpieczeństwa treści
polityka bezpieczeństwa treści (CSP) może definiować funkcje, które witryna może wykonywać. Można ich użyć, aby uniemożliwić witrynie akceptowanie skryptów in-line. Może to być najsilniejsza metoda do twojej dyspozycji, ponieważ może całkowicie zablokować ataki XSS lub przynajmniej znacznie zmniejszyć ich możliwość.