Co to jest skrypty międzywitrynowe

By Krystyna Małgorzata Bez komentarza 5 minut

Cross-Site Scripting, zwany także XXS, to złośliwy atak polegający na celowym wstawianiu złośliwych skryptów do przeglądarki internetowej użytkownika. Atakujący wykonuje złośliwy kod w aplikacji internetowej lub na stronie internetowej, a gdy tylko użytkownik odwiedza aplikację internetową lub stronę internetową; złośliwy skrypt jest automatycznie przesyłany do przeglądarki użytkownika.

Skrypty między witrynami

W ten sposób atakujący przejmuje kontrolę nad przeglądarką użytkownika lub jego kontem w określonym serwisie. Oznacza to, że ten atak nie szkodzi samej aplikacji internetowej, ale wpływa na użytkowników tej aplikacji.

Co więcej, złośliwe skrypty zwykle przesyłają jako kod JavaScript. Jednak złośliwe kody mogą również wykorzystywać przeglądarki użytkowników w innych językach, w tym HTML, Ajax, Flash i Java.

Get FastestVPN

Podsumowanie wyjaśnienia

Oto krótkie podsumowanie objaśnienia skryptów międzywitrynowych:

  • XXS to internetowy atak na podatne strony internetowe lub aplikacje internetowe
  • Szkodzi użytkownikom aplikacji internetowej, a nie samej aplikacji
  • XXS przesyła szkodliwe programy do użytkowników za pośrednictwem JavaScript.

Jak działa atak typu Cross-Site Scripting (XXS)?

Ataki typu cross-site scripting odbywają się w taki sposób, że najpierw manipuluje się podatną na ataki aplikacją internetową za pomocą złośliwego skryptu, a następnie aplikacja internetowa dostarcza złośliwy kod JavaScript do przeglądarki użytkownika.

Gdy tylko złośliwy skrypt dostanie się do przeglądarki użytkownika, osoba atakująca może łatwo przejąć kontrolę nad przeglądarką użytkownika.

Cel skryptów międzywitrynowych

Osoba atakująca przeprowadza ataki XXS z następujących powodów:

  • Włamać się na konto
  • W celu przesyłania złośliwego oprogramowania i wirusów na systemy korzystające z Internetu
  • Aby uzyskać dostęp do zawartości schowka użytkownika i historii przeglądarki
  • Aby zdalnie uruchomić przeglądarkę użytkownika
  • Eksploatować i uzyskiwać dostęp do aplikacji intranetowych

Przykłady skryptów międzywitrynowych

Niektóre z najbardziej narażonych na ataki źródeł wstrzykiwania XXS to samoobsługowe fora dyskusyjne i strony internetowe, które umożliwiają publikowanie postów przez użytkowników.

Poniżej udostępniamy prosty przykład skryptu międzywitrynowego:

Jest to kod JSP, w którym widać, że wysyłane jest żądanie HTTP, a kod odczytuje identyfikator pracownika, eid, wyświetlając go użytkownikowi.

Kod w tym przykładzie będzie działać poprawnie tylko wtedy, gdy kod (eid) zawiera standardowy tekst alfanumeryczny.

Ale jeśli ten sam kod (eid) używa jakichkolwiek metaznaków lub wartości kodu źródłowego, oznacza to, że przeglądarka internetowa wymusi wyświetlenie kodu użytkownikowi jako odpowiedź HTTP.

Początkowo nie wydaje się to być poważną luką w zabezpieczeniach, ponieważ nikt nigdy nie wprowadzi złośliwego adresu URL. Jednak zakłócenie zaczyna się, gdy osoba atakująca tworzy złośliwe łącze i nakłania użytkowników do odwiedzenia łącza ukrytego w adresie URL.

Zwykle osoba atakująca oszukuje użytkowników za pomocą inżynierii społecznej i wiadomości e-mail oraz zachęca użytkowników do odwiedzenia złośliwego łącza.

Gdy tylko użytkownik kliknie złośliwe łącze, niechcący odsyła szkodliwą zawartość aplikacji internetowej do swojego systemu.

Proces odbijania złośliwej zawartości z powrotem nazywany jest odbitym XXS. Ataki XXS powodują poważne zakłócenia, które często prowadzą do manipulacji i poważnej kradzieży danych.

Rodzaje skryptów międzywitrynowych

  1. Przechowywane/trwałe XSS

Przechowywany/trwały atak XSS to najbardziej uciążliwa forma ataku XSS, w której osoba atakująca przesyła trwały skrypt do aplikacji internetowej. Użytkownicy padają ofiarą złośliwych skryptów, gdy wysyłane jest żądanie na serwerze.

  1. Odbicie XXS

Ten typ Cross-Site Scripting nie wymaga bezpośredniego ataku na serwer. Wykorzystuje wiadomości e-mail, aby nakłonić użytkowników do wykonania złośliwych skryptów w przeglądarce. Przeglądarka uważa, że ​​jest to zaufany skrypt, dlatego cała złośliwa zawartość odbija się z powrotem w przeglądarce użytkownika.

  1. Ataki oparte na DOM

Ataki oparte na DOM są mniej powszechne i różnią się tym, że nigdy nie zakłócają kodu po stronie serwera, opierają się tylko na skryptach po stronie klienta.

DOM odnosi się do modelu obiektowego dokumentu, który jest interfejsem programowania aplikacji (API) dla dokumentów HTML i XML. Ataki oparte na modelu DOM mają miejsce tylko wtedy, gdy aplikacja internetowa wyświetla dane użytkownika w modelu obiektowym dokumentu.

Aplikacja internetowa odczytuje dane użytkownika i przesyła je do przeglądarki. Jeśli dane użytkownika nie są bezpieczne, osoba atakująca może łatwo przechowywać złośliwe skrypty w modelu DOM.

Jak określić lukę w zabezpieczeniach witryny

Możesz łatwo sprawdzić podatność swojej witryny za pomocą skanerów podatności na ataki, takich jak Nessus, Nikto, Vega, Grab, WebScarab i wiele innych dostępnych.

Ważne jest, aby dokładnie przeprowadzić przegląd bezpieczeństwa kodu i znaleźć wszystkie możliwe luki w zabezpieczeniach, które mogłyby umożliwić dane wejściowe z żądania HTTP w celu uzyskania dostępu do danych wyjściowych HTML.

Pamiętaj, że do wykonania złośliwego kodu JavaScript można użyć różnych tagów HTML. Dlatego ważne jest, aby przeskanować stronę internetową za pomocą skanerów bezpieczeństwa sieci.

W przypadku, gdy jakakolwiek część witryny jest podatna na ataki, istnieje ryzyko, że cała witryna może paść ofiarą uszkodzenia.

Jak zapobiegać atakom typu Cross-Site Scripting

  1. Uciekanie danych wprowadzonych przez użytkownika

Unikanie wprowadzania danych przez użytkownika to metoda zapobiegania atakom XXS. W tej metodzie musisz upewnić się, że dane, które Twoja aplikacja internetowa ma odesłać z powrotem do przeglądarki internetowej użytkownika, są bezpieczne.

WordPress i PHP zawierają funkcje, które automatycznie oczyszczają dane, które wysyłasz.

  1. Weryfikacja danych wejściowych

Walidacja danych wejściowych to proces, w którym wszelkie dane dostarczone przez aplikację internetową są dokładnie sprawdzane i weryfikowane przed wysłaniem z powrotem do przeglądarki użytkownika.

Aplikacje internetowe muszą sprawdzać i weryfikować dane przed wejściem do innych systemów. Pomaga wykryć wszelkie złośliwe łącza lub programy, których celem jest atakowanie systemów użytkowników.

Wnioski

Ataki XXS są powszechne i mogą naruszyć prywatność użytkowników, jednak łatwo jest przetestować i zabezpieczyć aplikacje internetowe przed złośliwymi skryptami.

Aplikacje internetowe muszą stale oczyszczać swoje dane wejściowe przed wysłaniem ich bezpośrednio do przeglądarki użytkownika. Ponadto regularne skanowanie stron internetowych pomoże aplikacjom internetowym znaleźć luki w zabezpieczeniach.

Przejmij kontrolę nad swoją prywatnością już dziś! Odblokuj strony internetowe, uzyskaj dostęp do platform streamingowych i omiń monitorowanie ISP.

Get FastestVPN
Zapisz się do newslettera
Otrzymuj popularne posty tygodnia i najnowsze ogłoszenia od FastestVPN za pośrednictwem naszego biuletynu e-mailowego.
ikona
0 0 głosów
Ocena artykułu

Możesz Również jak

Jak poprosić o swoje dane z Facebooka i Google Jak poprosić o swoje dane z Facebooka i Google
Wskazówki dotyczące ochrony podczas pracy w domu Wskazówki dotyczące ochrony podczas pracy w domu
Jak zatrzymać wiadomości e-mail ze spamem Jak zatrzymać wiadomości e-mail ze spamem
Zapisz się!
Powiadamiaj o
gość
0 Komentarze
Informacje zwrotne w linii
Wyświetl wszystkie komentarze