XSS-уязвимость. Что это?

Автор: | 01.02.2018

Межсайтовый скриптинг или XSS-атака – это вид уязвимости веб-сайта. XSS атака возникает вследствие появление хакерских скриптов на страницах веб-ресурса. Согласно современным данным статистики киберпреступности, на такой вид атак сегодня приходится до 15% хакерских атак.

XSS позволяет хакерам открывать куки-файлы, а также делает доступными другую конфиденциальную информацию пользователей, усложняет работу посетителя с интернет-ресурсом или способствует внедрению вируса в операционную систему. Исходя из этого, при создании и продвижении веб-сайтов необходимо учитывать возможности возникновения подобных угроз и заранее внедрять механизмы их предупреждения.

Зачем XSS уязвимость внедряется на сайт?

  • С целью изменения настроек сайта
  • С целью кражи cookies
  • Для размещения рекламной информации
  • Для хищения информации с целью проведения атак

Виды XSS-уязвимости

Существует два типа межсайтового скриптинга: активный и пасcивный. Для активизации последнего, от пользователя требуется выполнение определенных действий, к примеру, переход по определённой ссылке. Активные XSS характерны тем, что опасные скрипты размещаются на сервере веб-сайта и выполняются веб-браузером при доступе к любой из его интернет-страниц.

Программисты также различают постоянный, непостоянный XSS, а также XSS в DOM-модели.

Есть несколько путей внедрения XSS уязвимости на сайт:

  • При помощи HTML-тегов в записях для изменения текстового содержания. При недостаточно тщательной фильтрации подобных сообщений, в части из них остается тег <script>, который передает кибер-преступнику куки пользователя. Это может произойти, например, при навигации по форуму или переходу в браузере по любым ссылкам. В качестве защиты, нужно удалять все ненужные теги, за исключением регламентированных.
  • Внедрение через теги: значений и атрибутов. Опасный скрипт может внедряться, например, в тег img. Для того чтобы предупредить такую ситуацию, нужно установить жесткий механизм фильтрации тегов, а также поставить запрет на javascript и data в ссылках.
  • Внедрение XSS-уязвимости через кода в мета-тегах. Чтобы не допустить эту угрозу, в рамках поисковой СЕО-оптимизации сайта кодировка веб-страницы устанавливается до полей, которые заполняют пользователи.

Индексирование XSS

При оптимизации и продвижении сайта в поисковых системах, наличие XSS-уязвимостей может вызвать трудности при нормальной индексации веб-ресурса, в связи с генерацией большого объема страниц. Предотвратить их добавление в индекс поисковыми ботами можно благодаря, прописке инструкций в файле Роботс.

XSS-уязвимость. Что это?: 2 комментария

  1. Андрей

    А вот как обычным юзерам определять атаки, ведь многие ничего в этом не понимают. Может владельцам площадок необходимо ставить какую-то защиту? Если да, то было бы интересно узнать какие виды защит существуют и как ими пользоваться.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *