Какво е атака на XSS и какво можете да направите за него?
Светът започва да се събужда до нещо, известно като уязвимост на скриптове между различни сайтове (XSS). Докато вярвам, че е добре, че проблемът се разглежда в уебсайтове по целия свят, не мисля, че е много добре да не сме наясно с това, което е. В края на краищата повечето XSS атаки могат да бъдат предотвратени от потенциалната жертва. В интернет, ваша отговорност е да се изправите пред всякаква заплаха, за да не станете жертва. За да разберете как можете да се предпазите от XSS, първо трябва да знаете какво представлява XSS и как може да го повлияе, а след това как да го предотвратите.
Какво представлява XSS?
Дефиницията е в неговото име. Една атака на XSS се изпълнява чрез промяна на URL по начин, който позволява на някои скриптове да бъдат инжектирани в нея. Например можете да направите изцяло различен уебсайт в рамките на целта на URL адреса.
Вижте пример за модифицирания URL адрес:
Вижте къде е инжектиран скриптът? В този пример е много лесно, защото започва с "". Хакерите правят това, за да примамят нищо неподозиращите наблюдатели на страници, които могат да отвлекат браузърите си.
Как ви влияе XSS?
XSS може да се използва по различни начини. Някои може просто да публикуват връзка в Twitter, съдържаща зловредния URL адрес. Twitter прави половината работа за тях, като частично покрива URL адреса. Контекстуалните връзки в неблагонадеждни блогове и уеб сайтове могат да съдържат URL адреси, които са маскирани от "котва" (което е друг фантастичен начин за описване на текст, който е подчертан и синьо).
Когато кликнете върху връзката, може да се случи редица неща. В най-добрия сценарий, вие просто ще изпитате "шега", сам по себе си. С други думи, ще бъдете насочени към страница с куп фалшиво съдържание, вероятно показваща кредит на групата, извършила атаката срещу XSS. В най-лошия сценарий вашият браузър ще почувства кошмарни симптоми. Може да сте променили началната си страница и на компютъра ви може да възникнат няколко различни неприятности в резултат на извършен злонамерен софтуер.
XSS може да се използва и за проследяване чрез инсталиране на "бисквитки" на вашия компютър без вашето съгласие. Събирането на тези данни може да позволи на хакерите да разберат по-добре "цифровите демографски" данни за хората, към които се насочват за бъдещи инфекции на зловреден софтуер. В такъв случай може да не забележите нищо в компютъра или мобилното си устройство изобщо.
Колко опасно е XSS?
Всичко, което се разглежда, XSS обикновено не е много опасно. Може да е досадно, но няма да има дългосрочни последици, поне не в краткосрочен план. Въпреки това, пазете се от комбинации между XSS атаки и други видове злонамерено поведение!
Да приемем например, че Facebook е уязвима към XSS. Един хакер може лесно да инжектира фалшива страница за вход в URL адреса на Facebook. Бихте се влезли успешно (тъй като фалшивата страница може да изпрати вашите данни до Facebook и до собствената си база данни), но хакерът вече ще има вашето потребителско име и парола. Тук се представя истинската опасност на XSS.
Как да се защитите срещу XSS
Един от тези дни, XSS ще бъде нещо от миналото. Но дотогава трябва да се научите да избягвате падането на XSS капан. Всеки път, когато въвеждате страница, погледнете URL адреса. Ако има нещо, което да показва, че има скрипт (например символите около думата), тогава е разумно да използвате Вашата дискретност и може би да си тръгвате. Също така, гледайте URL адресите на връзките. Кликнете с десния бутон на мишката върху всяка връзка и я копирайте в клипборда. Поставете URL адреса в заявката си за бележник и я проверете, преди дори да влезете.
Ако имате уебсайт, който разработвате сами, прочетете този измамен лист. Това ще защити вас и вашите посетители от XSS. Не забравяйте да изпратите измама лист на всички уеб програмисти, които познавате. Те биха оценили.
Ако имате още въпроси относно XSS, не забравяйте да го оставите в коментар по-долу!