Межсайтовый скриптинг или XSS-атака – это вид уязвимости веб-сайта. XSS атака возникает вследствие появление хакерских скриптов на страницах веб-ресурса. Согласно современным данным статистики киберпреступности, на такой вид атак сегодня приходится до 15% хакерских атак.
XSS позволяет хакерам открывать куки-файлы, а также делает доступными другую конфиденциальную информацию пользователей, усложняет работу посетителя с интернет-ресурсом или способствует внедрению вируса в операционную систему. Исходя из этого, при создании и продвижении веб-сайтов необходимо учитывать возможности возникновения подобных угроз и заранее внедрять механизмы их предупреждения.
Зачем XSS уязвимость внедряется на сайт?
- С целью изменения настроек сайта
- С целью кражи cookies
- Для размещения рекламной информации
- Для хищения информации с целью проведения атак
Содержание статьи:
Виды XSS-уязвимости
Существует два типа межсайтового скриптинга: активный и пасcивный. Для активизации последнего, от пользователя требуется выполнение определенных действий, к примеру, переход по определённой ссылке. Активные XSS характерны тем, что опасные скрипты размещаются на сервере веб-сайта и выполняются веб-браузером при доступе к любой из его интернет-страниц.
Программисты также различают постоянный, непостоянный XSS, а также XSS в DOM-модели.
Есть несколько путей внедрения XSS уязвимости на сайт:
- При помощи HTML-тегов в записях для изменения текстового содержания. При недостаточно тщательной фильтрации подобных сообщений, в части из них остается тег <script>, который передает кибер-преступнику куки пользователя. Это может произойти, например, при навигации по форуму или переходу в браузере по любым ссылкам. В качестве защиты, нужно удалять все ненужные теги, за исключением регламентированных.
- Внедрение через теги: значений и атрибутов. Опасный скрипт может внедряться, например, в тег img. Для того чтобы предупредить такую ситуацию, нужно установить жесткий механизм фильтрации тегов, а также поставить запрет на javascript и data в ссылках.
- Внедрение XSS-уязвимости через кода в мета-тегах. Чтобы не допустить эту угрозу, в рамках поисковой СЕО-оптимизации сайта кодировка веб-страницы устанавливается до полей, которые заполняют пользователи.
Индексирование XSS
При оптимизации и продвижении сайта в поисковых системах, наличие XSS-уязвимостей может вызвать трудности при нормальной индексации веб-ресурса, в связи с генерацией большого объема страниц. Предотвратить их добавление в индекс поисковыми ботами можно благодаря, прописке инструкций в файле Роботс.
А вот как обычным юзерам определять атаки, ведь многие ничего в этом не понимают. Может владельцам площадок необходимо ставить какую-то защиту? Если да, то было бы интересно узнать какие виды защит существуют и как ими пользоваться.
все круто