XSS-attacker (Cross-site scripting attacks) används för att stjäla data och kapa surfningssessioner så att angripare kan vidta åtgärder på offrets vägnar. Angripare kan använda denna möjlighet att ändra webbsidor, posta på sociala konton, initiera banköverföringar eller göra bedrägliga inköp.
detta åstadkommes genom att lura program och webbplatser till att skicka skadliga skript via webbläsaren. Den vanligaste metoden för att ta över användarsessioner är att injicera kod med hjälp av formulärfält eller andra datainmatningsfält.
- risker för XSS-attacker
- risk för användare
- risk för företag
- typer av XSS-attacker
- reflekterade XSS-attacker
- DOM-baserade XSS-attacker
- Persistent / lagrad XSS-attacker
- hur man förhindrar XSS-attacker
- Håll programvaran uppdaterad
- sanera och validera inmatningsfält
- brandvägg för webbapplikationer
- Innehållssäkerhetspolicy
risker för XSS-attacker
XSS-attacker utgör viktiga säkerhetsrisker för både användare och företag.
risk för användare
angripare som kapar en användares session kan vidta ett antal skadliga åtgärder som påverkar dem. Monetärt sett kan de göra bedrägliga avgifter med sina bankkort eller direkt överföra pengar till andra konton.
XSS-attacker kan också användas för att extrahera känslig information från cookies och databaser. Denna information kan användas för identitetsstöld.
risk för företag
om en angripare får tag på stulna användaruppgifter kan de också orsaka kaos för verksamheten. Om användaren har administratörsrättigheter kan en XSS-attack sträcka sig till serversidan.
företag kan också drabbas av förlust av trovärdighet och varumärkesförtroende om en XSS-attack blir allmän kunskap. Användare och kunder är mer benägna att inte återvända till en webbplats om de vet att deras information kan vara i fara.
typer av XSS-attacker
reflekterade XSS-attacker
i reflekterade XSS-attacker injiceras skadliga skript direkt i en HTTP-begäran. Skriptet reflekteras från servern i ett HTTP-svar och körs sedan i en användares webbläsare. Detta är den enklaste typen av XSS-attack.
DOM-baserade XSS-attacker
Document-object model (DOM) – baserade attacker kräver ingen interaktion med servern. Sårbarheten är webbläsarens skript. Webbapplikationer läser det skadliga skriptet direkt från en frågesträng. De liknar på detta sätt reflekterade XSS-attacker.
Persistent / lagrad XSS-attacker
Persistent, även känd som lagrad, XSS-attacker är den farligaste typen av attack eftersom de har potential att påverka alla användare som besöker webbplatsen. I det här fallet injiceras skript i en databas via formulärfält.
skriptet lagras sedan på obestämd tid i webbplatsens databas. Varje användare som sedan går in på webbplatsen är sårbar för att ha sin session kapad.
hur man förhindrar XSS-attacker
det finns ett antal försiktighetsåtgärder du kan vidta för att förhindra XSS-attacker.
Håll programvaran uppdaterad
programvaran bör alltid hållas uppdaterad av många anledningar, inklusive att fixa fel, förbättra prestanda, installera nya funktioner och patcha säkerhetsproblem. Regelbunden uppdatering av programvara minskar kraftigt sårbarheterna som lämnar en webbplats eller applikation öppen för XSS-sårbarheter.
du bör också granska alla dina program för att avgöra vilka du behöver och som du sällan använder. Bli av med alla appar du inte använder för att ytterligare minska antalet sårbarheter.
sanera och validera inmatningsfält
inmatningsfält är den vanligaste inmatningspunkten för XSS-attackskript. Därför bör du alltid screena och validera all information som matas in i datafält. Detta är särskilt viktigt om data kommer att inkluderas som HTML-utdata för att skydda mot reflekterade XSS-attacker.
validering bör ske på både klientsidan och serversidan som en extra försiktighetsåtgärd. validering av data innan den skickas till servrar skyddar också mot ihållande XSS-skript. Detta kan åstadkommas med Javascript.
brandvägg för webbapplikationer
en brandvägg för webbapplikationer (WAF) kan vara ett kraftfullt verktyg för att skydda mot XSS-attacker. WAFs kan filtrera bots och annan skadlig aktivitet som kan indikera en attack. Attacker kan sedan blockeras innan något skript körs.
Innehållssäkerhetspolicy
en innehållssäkerhetspolicy (CSP) kan definiera vilka funktioner en webbplats får utföra. De kan användas för att förhindra att en webbplats accepterar in-line-skript. Detta kan vara den starkaste metoden till ditt förfogande eftersom det helt kan blockera XSS-attacker eller åtminstone kraftigt minska risken för dem.