Пример xss уязвимости: Что такое XSS-уязвимость и как тестировщику не пропустить ее / Хабр |

Posted:

Июн 18, 2023

Comments:

Пример xss уязвимости: Что такое XSS-уязвимость и как тестировщику не пропустить ее / Хабр

Содержание

Что такое XSS-уязвимость и как тестировщику не пропустить ее / Хабр

По моему наблюдению довольно много тестировщиков когда-либо слышали такое понятие, как XSS-уязвимость. Но мало кто может просто и на пальцах рассказать на собеседовании про нее. Или эффективно проверить веб-сайт на наличие этой уязвимости. Давайте вместе разберемся со всем этим подробнее и попробуем сами найти несложную XSS-уязвимость на демо-странице, которую я специально подготовил к этой статье.

Если вы гуру тестирования безопасности и на раз-два участвуете в баунти-программах крупных IT-компаний, а количество найденных вами XSS исчисляется десятками или даже сотнями — можно смело проходить мимо этой статьи. Если же вы новичок в теме и только начинаете интересоваться поиском уязвимостей — добро пожаловать под кат.

Определение

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — довольно распространенная уязвимость, которую можно обнаружить на множестве веб-приложений. Ее суть довольно проста, злоумышленнику удается внедрить на страницу JavaScript-код, который не был предусмотрен разработчиками. Этот код будет выполняться каждый раз, когда жертвы (обычные пользователи) будут заходить на страницу приложения, куда этот код был добавлен. А дальше существует несколько сценариев развития.

Первый: злоумышленнику удастся заполучить авторизационные данные пользователя и войти в его аккаунт.

Второй: злоумышленник может незаметно для жертвы перенаправить его на другую страницу-клон. Эта страница может выглядеть совершенно идентично той, на которой пользователь рассчитывал оказаться. Но вот принадлежать она будет злоумышленнику. Если пользователь не заметит подмены и на этой странице введет какие-то sensitive data, то есть личные данные, они окажутся у злоумышленника.

Третий… да в общем-то много чего еще можно придумать. Почти все, что может JavaScript, становится доступным для злоумышленника. Чуть ниже мы рассмотрим подробнее один из таких примеров. А пока давайте попробуем чуть подробнее обсудить, как именно устроена уязвимость. И почему злоумышленнику удается внедрить свой код в чужое приложение без доступа к его исходникам.

Небольшое предупреждение. Вся информация далее представлена исключительно в информационных целях. Тестировщик должен уметь проверять свое веб-приложение на уязвимости. Однако, использование XSS-уязвимостей на чужих ресурсах является незаконным.

Если говорить про действующее российское законодательство, когда исследователь тестирует чужой продукт на предмет уязвимостей или проникает в чужую сеть без ведома и согласия владельца, его действия могут быть расценены как неправомерные.

Но вернемся к XSS.

Как устроена уязвимость?

Прежде всего, как именно удается внедрить на страницу JavaScript-код, которого там раньше не было? И как получается распространить этот код среди других пользователей?

Например, можно добавить JavaScript-код в поле ввода, текст из которого сохраняется и в дальнейшем отображается на странице для всех пользователей. Это может быть поле для ввода информации о себе на странице профиля социальной сети или комментарии на форуме.

Злоумышленник вводит текст (и за одно вредоносный код), который сохраняется на странице. Когда другие пользователи зайдут на эту же страницу, вместе с текстом они загрузят и JavaScript-код злоумышленника. Именно в момент загрузки этот код отработает. Конечно, уязвимость сработает, только если текст при сохранении не будет обезопасен. О том, как это сделать, и почему разработчики иногда забывают об этом, поговорим чуть позже.

Это лишь самый простой и очевидный пример того, где может быть спрятана уязвимость. Более интересный пример мы с вами чуть ниже рассмотрим на специально подготовленной демо-страничке.

А пока давайте двигаться дальше.

Почему такие ошибки часто встречаются на веб-проектах?

Суть в том, что браузер не может самостоятельно отличить обычный текст от текста, который является CSS, HTML или JavaScript-кодом. Он будет пытаться обрабатывать все, что находится между тегами <script>, как JavaScript-код. Все, что находится между тегами <style>, считать CSS. И все, что похоже на тег, считать HTML-кодом.

Если разработчик хочет, чтобы какой-то текст только выглядел как код, но таковым не являлся (то есть не обрабатывался браузером, а выводился как есть), этот текст надо специально обработать прежде, чем отдать его браузеру. Такая обработка называется “экранированием”.

В процессе экранирования текста в этом тексте все спец. символы заменяются их “аналогами”, и браузер уже знает наверняка, что это просто текст. Важнее всего обрабатывать тот текст, который приходит от пользователя, так как любой пользователь может оказаться злоумышленником и вместе с текстом прислать какой-нибудь код. Увы, иногда разработчики забывают об экранировании в тех или иных местах веб-приложения, и текст выводится без всякой обработки. Причин для этого может быть несколько.

Например, не всегда программист держит в уме все места, где текст, заданный пользователем, попадает на страницу. Более того, иногда разные части сайта могут создаваться в разное время и/или разными людьми. В этом случае вероятность ошибки возрастает.

Еще причина может быть в том, что уязвимость находится не в коде самого разработчика, а в коде библиотеки, которую он использует. Обычно это какие-то готовые фреймворки для создания веб-сервисов. В таком случае разработчик, конечно, может даже не подозревать то, что подключая к проекту этот фреймворк, он автоматически подключает к нему же уже готовую уязвимость.

Такой риск есть всегда. Все же писать приложение полностью с нуля, не используя вообще никаких библиотек, в наше время долго и дорого. Далеко не каждая компания может позволить себе разработку такого уровня.

В этом случае вся надежда на тестировщиков.

Чем опасна XSS-уязвимость?

Давайте еще раз, более детально, поговорим об опасности XSS-уязвимости. Сама по себе уязвимость не является опасной. Опасной она становится тогда, когда ее находит злоумышленник и начинает ее использовать в своих целях. Использование уязвимости называется “вектором атаки”. В случае XSS векторов атаки довольно много.

Самый простой пример — кража авторизационных cookie пользователей веб-приложения. Чаще всего сайт, на котором присутствует авторизация, отличает авторизованного пользователя по так называемой сессионной cookie. Если ее нет, то пользователь не авторизован. А если она есть, то по значению этой cookie сервер может отличить одного пользователя от другого.

Все cookie хранятся на компьютере пользователей. Если я авторизуюсь своим пользователем, я буду видеть свое значение cookie. А значение чужой просто так узнать не смогу.

То же касается JavaScript-кода, который выполняется в браузере пользователя. Этот JavaScript-код будет видеть значение cookie того пользователя, в браузере которого он исполняется и только его.

Теперь допустим, что злоумышленнику удастся внедрить JavaScript-код на страницу веб-приложения. У любого пользователя, который теперь зайдет на эту страницу, будет исполняться в браузере JavaScript-код. Он будет читать значение cookie этого пользователя (теперь уже жертвы). Осталось только передать это значение злоумышленнику — и дело сделано. Но как передать значение, ведь вредоносный код исполняется в браузере жертвы?

Все довольно просто. Этот же JavaScript-код может создать AJAX-запрос на удаленный сервер. Например, на вот такой URL: www.zloy-site.ru/stolen={значение_cookie_жертвы}

Домен zloy-site принадлежит злоумышленнику из нашего примера. Все запросы, которые приходят на этот домен, записываются в базу данных. Посмотрев на параметры URL, злоумышленник узнает значения cookie жертв и сможет их использовать, чтобы попасть в их аккаунты.

Как мы обсудили выше — это не единственное, чем опасна XSS-уязвимость. Так что ради безопасности и для защиты своих пользователей необходимо уметь искать и закрывать подобные уязвимости на ваших проектах.

Где искать XSS? Как с ней бороться? Демо-страница с примером

В первую очередь стоит проверять на XSS-уязвимости те места на сайте, в которых у обычного пользователя есть возможность повлиять на контент. Если он может добавить в какое-то место определенный текст, он сможет попытаться добавить и JavaScript-код.

Давайте это рассмотрим на конкретном примере. Я подготовил очень простую песочницу, где спряталась XSS-уязвимость. Предлагаю попробовать ее найти вместе.

Открываем песочницу: https://playground.learnqa.ru/demo/xss

Для начала посмотрим, как устроена страница. Это по сути очень простой каталог книг, в котором есть поиск. Если ввести в запросе “Рей Брэдбери” мы увидим все книги, которые есть в этом каталоге этого автора.

Внимательный пользователь уже заметил, что текст, который мы вводили в поле поиска, тут же оказался в URL. Нам этот момент еще пригодится.

А пока давайте попробуем вставить какую-нибудь ерунду в поле поиска: “fwefewf”.

Мы увидим, что в этом случае ничего найти на странице не удалось. А текст запроса повторился в тексте ошибки:

Итак, мы с вами обнаружили место, где появляется текст, вводимый нами. Следовательно, это и есть потенциальное место для XSS-уязвимости. Давайте попробуем вставить самый популярный JavaScript-код для проверки, есть ли там уязвимость.

В случае, если страница является уязвимой, после ввода этого кода на странице появится вот такое окошко:

Оно и будет означать, что наш JavaScript-код исполнился и мы нашли XSS-уязвимость.

Итак, вводим код и видим следующее предупреждение:

Форма не позволяет нам осуществить поиск по такому значению, так как форма валидируется и хочет работать только с буквами и цифрами. На первый взгляд кажется, что разработчик все учел и защитил страницу от XSS, но это не совсем так.

Помните, чуть выше мы с вами заметили, что текст, который мы вводим в поле поиска, отображается в URL в так называемом GET-параметре? Имя этого параметра “q”, а значение — то, что мы вводим в поле поиска. Это сделано для того, чтобы можно было скопировать URL вместе с этой самой строкой поиска и в следующий раз открыть страницу сразу с нужными авторами.

Например, вот такой URL откроет страницу сразу только с книгами Рея Брэдбери: playground.learnqa.ru/demo/xss?q=Рей+Брэдбери

В отличие от формы, валидацию URL разработчик сделать не мог — любой пользователь в своем браузере может ввести любой URL, какой захочет, в том числе и с любым значением GET-параметра. Задача разработчика в этом случае — не забыть учесть все варианты и написать правильный обработчик значения этого GET-параметра.

Проверим, не забыл ли наш разработчик все учесть тут. Попробуем в GET-параметр “q” подставить тот самый JavaScript-код: https://playground.learnqa.ru/demo/xss?q=<script>alert(123)</script>

Перейдя по этому URL мы видим, что на странице появилось окошко со значением 123. Но почему?

Все довольно просто. Помните, когда сайт не может найти нужные книги по заданному поисковому запросу, он текст этого поискового запроса выводит в тексте ошибке? Мол, не нашли ничего по запросу “бла-бла”. Вот вместо этого “бла-бла” у нас теперь JavaScript-код с алертом. Разработчик написал валидацию поля ввода и решил, что так он защитил сайт от того, чтобы JavaScript мог оказаться в поисковом запросе. И не стал экранировать текст ошибки. Нам же удалось обойти валидацию через URL, поменяв там значение поискового запроса.

Ради интереса теперь можем вывести значение нашей сессионной cookie, для этого вместо <script>alert()</script> в URL надо подставить другой код: <script>alert(document.cookie)</script>

С этим я уже предоставлю поиграться вам самостоятельно. 🙂

Найдя ошибку, стоит обратиться к разработчикам — они ее исправят.

Способов закрыть ошибку довольно много. Экранировать текст — не единственный из них. Еще можно запретить самому JavaScript видеть некоторые cookie. Для этого у cookie есть специальный параметр “http only”. Если он выставлен в TRUE, JavaScript никак не сможет узнать, что такая cookie вообще выставлена и не сможет ее прочитать и передать злоумышленнику даже в том случае, если ему удастся найти XSS на вашем проекте.

Все это — лишь малый, далеко не полный список манипуляций, предотвращающий XSS-уязвимости. Как писалось выше — при обнаружении XSS в ходе тестирования лучше всего пообщаться с программистами.

Если Вам интересно знать больше про тестирование безопасности, хочется лучше разобраться в устройстве клиент-серверной архитектуры, понять и отточить самые эффективные способы поиска уязвимостей на настоящем веб-приложении, приходите на мой курс “Тестирование безопасности”. Вся необходима информация есть в моем профиле.

Вас ждет только полезная и нужная теория без воды и большое количество практических примеров и заданий. Вы будете исследовать множество веб-страниц, напичканных самыми разными уязвимостями. Итоговой работой станет большое исследование либо вашего рабочего проекта, либо одного из веб-приложений таких гигантов как Google, Facebook, Twitter и так далее.

какими они бывают и чем опасны Xss инъекции

Вы здесь:
Главная/
Вирусы

Через XSS опытные злоумышленники интегрируют в страницы сайтов-жертв работающие на них скрипты, выполняемые в момент посещения зараженных ресурсов. Существует несколько видов XSS-уязвимостей, представляющих различную степень опасности.

Наиболее осторожно стоит относиться к активной уязвимости. Когда злоумышленник внедряет свой SQL-код в доступную базу либо файл на сервер, жертвой может стать каждый посетитель зараженного ресурса. Такие места часто интегрируются, поэтому даже обработанные вашей защитой данные, хранящиеся в БД, могут по-прежнему представлять определенную опасность.

Создание пассивной XSS-уязвимости требует от злоумышленника определенной изобретательности. Либо вас заманивают на подставной ресурс всевозможными ссылками, либо пытаются любыми способами переадресовать на требуемый сайт. Обычно это происходит через письма от вымышленной администрации посещаемой вами страницы, с запросами проверки настроек аккаунта. Также активно используется разнообразные спам-рассылки или посты на широко посещаемых форумах.

Пассивная XSS-уязвимость может исходить как от POST так и от GET-параметров. Для первых характерен ряд различных ухищрений, для вторых – кодировка url-строки либо вставка дополнительных значений.

Похищение Cookies

Чаще всего именно ваши Cookies становятся целью проводимой XSS атаки. Иногда в них остается ценная информация, включающая логины и пароли пользователей либо их хэш. Но достаточно опасны и совершения краж активных сессий важных для вас сайтов, поэтому не стоит забывать нажимать на кнопку «выход» даже при посещении сайтов с домашнего компьютера. Хотя большинство ресурсов для предотвращения подобных действий используют автоматическое ограничение длительности сессии. Доменные же ограничения XMLHttpRequest от таких атак не спасают.

Данные из заполняемых форм

Пользуется популярностью и считывание информации в заполняемых формах. Для этого на вызывающих интерес страницах выполняется отслеживание событий (onsubmit), а все предоставляемые данные пересылаются также и на сервера злоумышленников. Такие атаки во многом схожи с фишинговыми, но кража происходит не на поддельном, а на реальном сайте с хорошей репутацией.

Распределенные DDoS-атаки

Для атак через XSS используются и многопосещаемые ресурсы. Благодаря XSS-уязвимости выполняется переадресация приходящих на них запросов на взламываемый сервер, в результате чего его защита не выдерживает.

Поддельные межсайтовые запросы (CSRF/XSRF)

У них также мало общего с XSS. Это отдельная разновидность уязвимостей, используемых в сочетании с XSS. Их целью является завлечение авторизованного пользователя с неуязвимого сайта на подставную уязвимую страницу для проведения обманных операций. Например, клиента, использующего электронную систему платежей, выманивают на уязвимый сайт, переводящий деньги на счета злоумышленников. Поэтому в большинстве платежных систем предусмотрена защита путем дополнительного введения пароля либо подтверждающего операцию кода.

Внедрение XSS-червей

Такая XSS атака на сайт появилась с развитием известных соцсетей (Вконтакте, Twitter и других). Через них целые группы пользователей получают уязвимые XSS ссылки с интегрированными скриптами, рассылающими по сетям спам от их имени. Также широко практикуется и попутное копирование личной информации и фотографий на ресурсы злоумышленников.

Примеры безобидных XSS

Заметим, что многие типы счетчиков также выполняют роль активных XSS. С них ведется передача данных о регистрирующихся посетителях (их IP-адреса, данные об используемом оборудовании).

Только данный код интегрируется у вас в компьютере по вашей же воле. К другим подобным XSS можно смело отнести целый ряд кроссдоменных AJAX-запросов.

Про возможность получения различной информации со сторонних сайтов с помощью простой атаки — Cross Site Scripting Inclusion (XSSI).

Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения» политики и организации взаимодействия. Например, такие, как CORS или crossdomain.xml. Один из более старых методов — подгрузка JavaScript с другого домена через тег

К примеру, есть хост атакующего evil. ru и сайт жертвы — victim.com. На evil.ru мы можем положить файл HTML и сослаться на любой скрипт у жертвы:

При входе пользователя на сайт атакующего браузер подгрузит и запустит JS с victim.com, но в контексте SOP evil.ru. Это значит, что из JS самого атакующего мы сможем получить доступ к данным (не всем) JS с сервера жертвы.

Например, содержимое JS c cайта-жертвы (http://victim.com/any_script_.js):

Var a = «12345»;

Тогда на сайте атакующего мы можем получить значение переменной:

Идея работы проста, как алюминиевый чайник.

По сути, возможность подгружать с других сайтов статический JS несет в себе не больше проблем для сайта-жертвы, чем погрузка картинки.

Проблемы могут возникнуть, когда JS формируется динамически, то есть когда контент JS-скрипта меняется на основании данных из cookie в зависимости от того, какой пользователь к нему обращается. Например, в JS хранится какая-то «критичная» информация: персональные сведения (email, имя пользователя на сайте-жертве) или техническая инфа (анти CSRF-токены).

Но, как мы знаем, при подгрузке скрипта через тег

Что же мы можем узнать? Глобальные переменные и результаты работы глобальных функций. К сожалению, доступа к внутренним переменным/функциям нам не получить (хотя, возможно, кто-то найдет способ сделать и это).

Function test(){
return «private data frm function»;
}

Такая атака выглядит возможной, но кажется, что она слишком проста и не должна быть распространенной. Этим и интересна презентация на Black Hat. Исследователи проанализировали 150 популярных сайтов и обнаружили, что в той или иной мере уязвима треть из них. Такая статистика заставляет взглянуть на проблему чуть более пристально.

Была выявлена и еще одна закономерность. Content Security Policy становится все более распространенной. Как ты знаешь, с ней мы можем указать, с каких доменов может быть подгружен тот или иной ресурс. Например, можно сказать исполнять JS только с того же ресурса. Кроме того, лучшие практики настройки CSP подразумевают запрет на запуск inline JS (то есть кода, который находится прямо в HTML, а не подгружен из JS-файла).

Однако перенос inline в файлы может быть сделан с костылями и на скорую руку — то есть посредством динамически генерируемых скриптов. Так как CSP никак не влияет на XSSI, мы опять-таки можем проводить наши атаки. Вот такая вот bad practice.

Межсайтовые скрипты (XSS) относятся к атаке инъекции кода на стороне клиента, в которой злоумышленник может выполнять вредоносные скрипты на веб-сайте или веб-приложении. XSS является одним из наиболее распространенных уязвимостей веб-приложения и происходит, когда веб-приложение не использует валидацию или кодирование вводимы-выводимых данных.

Используя XSS, злоумышленник не нацеливается непосредственно на жертву. Вместо этого он воспользуется уязвимостью веб-сайта или веб-приложения, которое посетит жертва, по существу используя уязвимый веб-сайт в качестве средства доставки вредоносного сценария в браузер жертвы.

В то время как XSS может быть использован в VBScript, ActiveX и Flash (хотя последний в настоящее время считается устаревшим), бесспорно, им наиболее широко злоупотребляют в JavaScript – в первую очередь потому, что JavaScript имеет фундаментальное значение для большинства сайтов.

Как работает межсайтовый скрипт

Чтобы запустить вредоносный код JavaScript в браузере жертвы, злоумышленник должен сначала найти способ внедрить полезные данные на веб-страницу, которую посещает жертва. Конечно, злоумышленник может использовать методы социальной инженерии, чтобы убедить пользователя посетить уязвимую страницу с введенной полезной нагрузкой JavaScript.

Для атаки на XSS уязвимый веб-сайт должен непосредственно включать пользовательский ввод на своих страницах. Затем злоумышленник может вставить строку, которая будет использоваться на веб-странице и обрабатываться браузером жертвы как код.

Следующий псевдо-код на стороне сервера используется для отображения последнего комментария на веб-странице.

Print «»
print «

»
print database.latestComment
print «»
Приведенный выше скрипт просто распечатывает последний комментарий из базы данных комментариев и печатает содержимое на HTML-странице, предполагая, что распечатанный комментарий состоит только из текста.

Вышеупомянутый код страницы уязвим к xss, потому что злоумышленник может оставить комментарий, который содержит вредоносную нагрузку, например

.
Пользователи, посещающие веб-страницу, получат следующую HTML-страницу.

Когда страница загружается в браузере жертвы, вредоносный скрипт злоумышленника будет выполняться, чаще всего без осознания или возможности пользователя предотвратить такую атаку.

Важное примечание: -xss-уязвимость может существовать только если полезная нагрузка (вредоносный скрипт), который злоумышленник вставляет, в конечном счете обрабатывается (как HTML в данном случае) в браузере жертвы

Что может сделать злоумышленник с JavaScript?

Последствия того, что злоумышленник может сделать с возможностью выполнения JavaScript на веб-странице, могут не сразу проявиться, тем более что браузеры запускают JavaScript в очень жестко контролируемой среде и что JavaScript имеет ограниченный доступ к операционной системе пользователя и файлам пользователя.

Однако, учитывая, что JavaScript имеет доступ к следующему, легче понять, что творческие злоумышленники могут получить с JavaScript.

Вредоносный JavaScript имеет доступ ко всем тем же объектам, что и остальная часть веб-страницы, включая доступ к cookies. Файлы cookie часто используются для хранения маркеров сеансов, если злоумышленник может получить файл cookie сеанса пользователя, он может олицетворять этого пользователя.

JavaScript может использовать XMLHttpRequest для отправки http-запросов с произвольным содержанием в произвольных направлениях.

JavaScript в современных браузерах может использовать API HTML5, такие как доступ к геолокации пользователя, веб-камера, микрофон и даже конкретные файлы из файловой системы пользователя. В то время как большинство из этих API требуют участия пользователя, XSS в сочетании с некоторой умной социальной инженерией может принести злоумышленнику неплохие результаты.

Вообще, в сочетании с социальной инженерией, это способы позволяют злоумышленникам организовывать такие атаки, как кражу кук, кейлоггинг, фишинг и кражи личных данных. Критично, что уязвимости XSS обеспечивают идеальную почву для нападающих для эскалации атак на более серьезные.

Разве межсайтовые скрипты не проблема пользователя?

Нет. Если злоумышленник может злоупотребить уязвимостью XSS на веб-странице, чтобы выполнить произвольный JavaScript в браузере посетителя, безопасность этого веб-сайта или веб — приложения и его пользователей была скомпрометирована-xss не является проблемой пользователя, как и любая другая Уязвимость безопасности, если она затрагивает ваших пользователей, это повлияет на вас.

Анатомия межсайтовой скриптовой атаки

Для Xss-атаки нужны три участника: сайт, жертва и нападающий. В приведенном ниже примере предполагается, что целью злоумышленника является выдача себя за жертву путем кражи куки жертвы. Отправка файлов cookie на сервер злоумышленника может быть осуществлена различными способами, одним из которых является выполнение следующего кода JavaScript в браузере жертвы с помощью уязвимости XSS.

На рисунке ниже показано пошаговое руководство по простой атаке XSS.

Злоумышленник вводит полезные данные в базу данных веб-сайта, отправляя уязвимую форму с помощью вредоносного кода JavaScript
Жертва запрашивает веб-страницу с веб-сайта
Веб-сайт служит браузеру жертвы страница с полезной нагрузкой злоумышленника как часть тела HTML.
Браузер жертвы будет выполнять вредоносный скрипт внутри тела HTML. В этом случае он отправит куки жертвы на сервер злоумышленника. Теперь злоумышленник должен просто извлечь файл cookie жертвы, когда HTTP-запрос поступает на сервер, после чего злоумышленник может использовать украденный файл cookie жертвы.

Некоторые примеры скриптов межсайтовой атаки

Ниже приведен небольшой список сценариев атаки XSS, которые злоумышленник может использовать для нарушения безопасности веб-сайта или веб-приложения.

Этот

тег

При xss инъекция может быть доставлена внутрь

тега с помощью onload атрибута или другим более темным атрибутом, таким как background.

тег
Некоторые браузеры будут выполнять JavaScript, когда он находится в .

В некоторых браузерах, если этот type атрибут тега имеет значение image, он может использоваться для размещения скрипта.

тег

В теге, который часто используется для ссылки на внешние таблицы стилей, могут содержаться скрипт.

тег

Вackground атрибут table и td тегов может быть использован для обозначения скрипт вместо изображения.

Что такое межсайтовый скриптинг? Типы XSS, примеры и защита

Дом
Направляющие
Атаки с использованием межсайтового скриптинга (XSS)

Введение

В наши дни гораздо правильнее думать о веб-сайтах как о онлайн-приложениях, выполняющих ряд функций, а не как о старых статических страницах. Большая часть этой надежной функциональности связана с широким использованием языка программирования JavaScript. Хотя JavaScript позволяет веб-сайтам делать довольно интересные вещи, он также представляет новые и уникальные уязвимости — межсайтовый скриптинг (XSS) является одной из самых серьезных угроз.

Содержание

Что такое межсайтовый скриптинг (XSS)?

Как работают атаки межсайтового скриптинга (XSS)?

Какие существуют типы атак с использованием межсайтовых сценариев (XSS)?

1 Сохраненный (постоянный) межсайтовый скриптинг

2 Отраженный межсайтовый скриптинг

3 Самостоятельный межсайтовый скриптинг

4 Слепой межсайтовый скриптинг

5 Предотвращение межсайтового0 скриптинга на основе DOM 10 90 Атаки с использованием межсайтовых сценариев?

1 Значения разрешения списка

2 Избегайте и ограничивают HTML на входах

3 Значения дезинтезирования

4 Используйте флаги Httponly на печенье

5 Используйте WAF для защиты от XSS

после HACK ACTION

1 LOCAT 2 Удаление вредоносного контента и бэкдоров

3 Исправление уязвимости

4 Обновите свои учетные данные

5 Настройте WAF

Что такое межсайтовый скриптинг (XSS)?

Межсайтовый скриптинг, обычно называемый XSS, возникает, когда хакеры запускают вредоносный код JavaScript в браузере жертвы.

В отличие от атак удаленного выполнения кода (RCE), код запускается в браузере пользователя. После первоначальной инъекции сайт обычно не полностью контролируется злоумышленником. Вместо этого злоумышленник прикрепляет свой вредоносный код к законному веб-сайту, фактически обманывая браузеры, заставляя их запускать свое вредоносное ПО всякий раз, когда сайт загружается.

Использование JavaScript в межсайтовых сценариях

JavaScript — это язык программирования, который запускается на веб-страницах в вашем браузере. Этот клиентский код добавляет веб-странице функциональность и интерактивность и широко используется во всех основных приложениях и платформах CMS.

В отличие от серверных языков, таких как PHP, код JavaScript внутри вашего браузера не может повлиять на веб-сайт для других посетителей. Он привязан к вашему собственному навигатору и может выполнять действия только в окне вашего браузера.

Хотя JavaScript является клиентской стороной и не запускается на сервере, его можно использовать для взаимодействия с сервером путем выполнения фоновых запросов. Злоумышленники могут использовать эти фоновые запросы для добавления нежелательного спам-контента на веб-страницу без ее обновления, сбора аналитики о браузере клиента или выполнения действий асинхронно.

Как работают атаки с использованием межсайтовых сценариев?

Когда злоумышленники внедряют свой собственный код на веб-страницу, что обычно достигается путем использования уязвимости в программном обеспечении веб-сайта, они могут затем внедрить свой собственный скрипт, который выполняется браузером жертвы.

Поскольку JavaScript запускается на странице браузера жертвы, конфиденциальные данные о аутентифицированном пользователе могут быть украдены из сеанса, что, по сути, позволяет злоумышленнику атаковать администраторов сайта и полностью скомпрометировать веб-сайт.

Другое популярное использование атак с использованием межсайтовых сценариев — когда уязвимость доступна на большинстве общедоступных страниц веб-сайта. В этом случае злоумышленники могут внедрить свой код для целевых посетителей веб-сайта, добавив собственную рекламу, фишинговые подсказки или другой вредоносный контент.

Какие существуют типы атак с использованием межсайтовых сценариев?

Теперь, когда мы рассмотрели основы, давайте углубимся. В зависимости от своих целей злоумышленники могут использовать межсайтовые сценарии различными способами. Давайте рассмотрим некоторые из наиболее распространенных типов атак.

1. Сохраненный (постоянный) межсайтовый скриптинг

Атаки с использованием хранимых межсайтовых сценариев происходят, когда злоумышленники сохраняют свою полезную нагрузку на скомпрометированном сервере, в результате чего веб-сайт доставляет вредоносный код другим посетителям.

Поскольку этот метод требует от злоумышленника только начальных действий и впоследствии может скомпрометировать многих посетителей, это наиболее опасный и наиболее часто используемый тип межсайтового скриптинга.

2.

Отраженный (непостоянный) межсайтовый скриптинг

Атаки с использованием отраженных межсайтовых сценариев происходят, когда полезная нагрузка сохраняется в данных, отправляемых из браузера на сервер. Эти атаки популярны в попытках фишинга и социальной инженерии, потому что уязвимые веб-сайты предоставляют злоумышленникам бесконечный набор веб-сайтов, выглядящих как законные, которые они могут использовать для атак.

Типичным примером отраженного межсайтового скриптинга является форма поиска, где посетители отправляют свой поисковый запрос на сервер, и только они видят результат.

Злоумышленники обычно отправляют жертвам настраиваемые ссылки, которые направляют ничего не подозревающих пользователей на уязвимую страницу. На этой странице они часто используют различные методы для подтверждения концепции.

3. Самостоятельный межсайтовый скриптинг

Самостоятельный межсайтовый скриптинг возникает, когда злоумышленники используют уязвимость, которая требует очень специфического контекста и ручных изменений. Единственный, кто может быть жертвой, — это вы сами.

Эти конкретные изменения могут включать в себя такие вещи, как значения файлов cookie или установку вашей собственной информации в полезную нагрузку.

Примечание: Примером самостоятельного межсайтового скриптинга является запуск непроверенного кода на платформах социальных сетей или онлайн-играх, где за запуск кода предлагается некоторое вознаграждение или информация.

4. Слепой межсайтовый скриптинг

Слепые атаки с использованием межсайтовых сценариев происходят, когда злоумышленник не может видеть результат атаки. В этих атаках уязвимость обычно находится на странице, доступ к которой имеют только авторизованные пользователи.

Этот метод требует большей подготовки для успешного проведения атаки; в случае сбоя полезной нагрузки злоумышленник не будет уведомлен.

Чтобы повысить вероятность успеха этих атак, хакеры часто используют полиглоты, которые предназначены для работы во многих различных сценариях, например, в атрибуте, в виде обычного текста или в теге скрипта.

5. Межсайтовый скриптинг на основе DOM.

Атаки с использованием межсайтовых сценариев на основе DOM происходят, когда не сам сервер уязвим для XSS, а JavaScript на странице.

Поскольку JavaScript используется для добавления интерактивности странице, аргументы в URL-адресе можно использовать для изменения страницы после ее загрузки. Изменяя DOM, когда он не очищает значения, полученные от пользователя, злоумышленники могут добавить вредоносный код на страницу.

Примечание: Примером атаки межсайтового скриптинга на основе DOM может быть, когда веб-сайт меняет выбор языка с языка по умолчанию на язык, указанный в URL-адресе

Знаете ли вы?

Брандмауэр Sucuri может помочь виртуально устранить атаки на ваш веб-сайт.

Как предотвратить атаки с использованием межсайтовых сценариев?

Злоумышленники используют различные методы для использования уязвимостей веб-сайтов. В результате не существует единой стратегии снижения риска атаки с использованием межсайтовых сценариев.

Концепция межсайтового скриптинга основана на небезопасном вводе данных пользователем, который напрямую отображается на веб-странице. Если пользовательский ввод должным образом дезинфицировать, атаки с использованием межсайтовых сценариев будут невозможны. Существует несколько способов гарантировать, что пользовательский ввод не может быть скрыт на ваших веб-сайтах.

Чтобы защитить свой веб-сайт, мы рекомендуем вам усилить защиту ваших веб-приложений с помощью следующих защитных мер.

1. Значения белого списка

Ограничить пользовательский ввод определенным списком разрешений. Эта практика гарантирует, что на сервер отправляются только известные и безопасные значения. Ограничение пользовательского ввода работает только в том случае, если вы знаете, какие данные вы получите, например содержимое раскрывающегося меню, и непрактично для пользовательского содержимого.

2. Избегайте и ограничивайте использование HTML во входных данных

Хотя HTML может потребоваться для расширенного содержимого, его следует ограничить доверенными пользователями. Если вы разрешаете стилизацию и форматирование входных данных, вам следует рассмотреть возможность использования альтернативных способов создания контента, таких как Markdown.

Наконец, если вы используете HTML, обязательно очистите его с помощью надежного дезинфицирующего средства, такого как DOMPurify , чтобы удалить весь небезопасный код.

3. Дезинфекция ценностей

Когда вы используете пользовательский контент на странице, убедитесь, что это не приведет к HTML-контенту, заменив небезопасные символы соответствующими объектами. Сущности выглядят так же, как обычные символы, но их нельзя использовать для создания HTML.

4. Используйте флаги HTTPOnly для файлов cookie

Файлы cookie сеанса — это механизм, который позволяет веб-сайту распознавать пользователя между запросами, и злоумышленники часто крадут сеансы администрирования, удаляя файлы cookie. После кражи файла cookie злоумышленники могут войти в свою учетную запись без учетных данных или авторизованного доступа.

Используйте файлы cookie HttpOnly, чтобы запретить JavaScript считывать содержимое файла cookie, что затрудняет кражу сеанса злоумышленником.

Примечание: Этот метод только предотвращает чтение файла cookie злоумышленниками. Злоумышленники по-прежнему могут использовать активный сеанс браузера для отправки запросов, действуя от имени пользователя-администратора. Этот метод также полезен только при использовании файлов cookie в качестве основного механизма идентификации.

5.

Используйте WAF для защиты от атак с использованием межсайтовых сценариев

Вы можете использовать брандмауэр для виртуального устранения атак на ваш веб-сайт. Этот метод перехватывает такие атаки, как XSS, RCE или SQLi, еще до того, как вредоносные запросы достигнут вашего веб-сайта. Он также имеет преимущество защиты от крупномасштабных атак, таких как DDOS.

Нужна помощь в блокировании злоумышленников?

Наш брандмауэр приложений для веб-сайтов (WAF) останавливает злоумышленников, ускоряет время загрузки и повышает доступность вашего веб-сайта.

Действия после взлома

В случае межсайтового скриптинга существует ряд шагов, которые вы можете предпринять, чтобы исправить свой веб-сайт.

1. Найдите уязвимый код

Первым шагом в восстановлении после межсайтового скриптинга является определение места расположения уязвимости. Вы можете обратиться к нашему полезному руководству по взлому веб-сайта , чтобы узнать, как это сделать.

2. Удалите вредоносный контент и бэкдоры

Получив информацию о местонахождении вредоносного ПО, удалите все вредоносное содержимое или неверные данные из своей базы данных и восстановите ее до чистого состояния. Вы также захотите проверить остальную часть вашего веб-сайта и файловых систем на наличие бэкдоров.

3. Исправление уязвимости

Хакеры часто используют уязвимости в базах данных, приложениях и сторонних компонентах. Как только вы определили уязвимое программное обеспечение, примените исправления и обновления к уязвимому коду вместе с любыми другими устаревшими компонентами.

4.

Обновите свои учетные данные

При компрометации важно изменить все ваши пароли и секреты приложений, как только уязвимость будет устранена. Предотвратите повторное заражение, очистив свои данные, чтобы убедиться, что в базе данных нет мошеннических пользователей-администраторов или бэкдоров.

5. Настройте WAF

Рассмотрите возможность настройки брандмауэра веб-приложений для фильтрации вредоносных запросов на ваш веб-сайт. Они могут быть особенно полезны для защиты от новых уязвимостей до того, как будут выпущены исправления.

Если вы считаете, что ваш веб-сайт подвергся атаке с использованием межсайтовых сценариев, и вам нужна помощь, наши услуги по удалению и защите от вредоносных программ могут отремонтировать и восстановить ваш взломанный веб-сайт.

Наша специальная группа реагирования на инциденты и брандмауэр веб-сайта могут безопасно удалить вредоносный код из файловых систем и базы данных вашего веб-сайта, полностью восстановив его до исходного состояния.

Готовы установить WAF?

Библиотека ресурсов Sucuri

Расскажите о новых угрозах безопасности веб-сайтов с помощью наших полезных руководств, электронной почты, курсов и материалов блога.

Веб-семинар

Узнайте, как выявить проблемы, если вы подозреваете, что ваш сайт WordPress был взломан.

Электронный курс

Присоединяйтесь к нашей серии электронных писем, поскольку мы предлагаем практические шаги и основные методы обеспечения безопасности для владельцев сайтов WordPress.

Отчет

По нашим данным, тремя наиболее часто заражаемыми платформами CMS были WordPress, Joomla! и Мадженто.

Что такое межсайтовый скриптинг (XSS)? Типы XSS, примеры и рекомендации по установке исправлений

Что такое межсайтовый скриптинг (XSS)

Межсайтовый скриптинг (XSS) — это уязвимость системы безопасности, которая позволяет злоумышленнику внедрить вредоносный код на веб-страницу, просматриваемую другими пользователями, обычно в виде сценария. Когда другие пользователи просматривают скомпрометированную страницу, внедренный код может выполнить и украсть конфиденциальную информацию или выполнить вредоносные действия от их имени.

Эта атака обычно нацелена на веб-приложения, которые позволяют создавать пользовательский контент или ввод, например доски объявлений, разделы комментариев или окна поиска.

Доступно спонсорство

Злоумышленник может внедрить вредоносный код, обычно в виде сценария, на веб-страницу, который затем запускается браузером жертвы. Это может позволить злоумышленнику

украсть конфиденциальную информацию, такую как учетные данные для входа в систему, файлы cookie и другие данные сеанса
Выполнение других вредоносных действий, таких как перенаправление пользователя на фишинговый сайт

Существует несколько XSS-атак, в том числе

Stored XSS , когда злоумышленник внедряет вредоносный код в базу данных веб-приложения
Отраженный XSS , в котором злоумышленник обманом заставляет жертву щелкнуть вредоносную ссылку, содержащую вредоносный код

Предотвращение атак XSS обычно включает в себя надлежащую проверку и очистку пользовательского ввода на стороне сервера, а также реализацию таких мер, как политика безопасности содержимого (CSP), для предотвращения выполнения ненадежных сценариев.

Пример XSS-атаки Атака

Допустим, есть веб-сайт с окном поиска, которое позволяет пользователям искать товары. Веб-сайт использует параметр поиска в URL-адресе для получения результатов поиска следующим образом:

https://example.com/search?q=<поисковый запрос>

Если пользователь ищет «ноутбуки», URL-адрес будет выглядеть следующим образом:

https://example.com/search? q=laptops

Представьте, что злоумышленник хочет использовать это окно поиска для проведения XSS-атаки. Злоумышленник может создать вредоносный поисковый запрос, содержащий тег скрипта:

https://example.com/search?q=

Если жертва щелкнет ссылку, ведущую к этому вредоносному URL-адресу, браузер жертвы выполнит сценарий и отобразит предупреждающее сообщение с текстом

«XSS-атака!».

Это всего лишь один пример того, как может быть осуществлена XSS-атака. Есть много других способов, которыми злоумышленники могут использовать веб-приложения для выполнения XSS-атак, но все они включают внедрение вредоносного кода в веб-страницы, просматриваемые другими пользователями.

В чем разница между SQLi и XSS?

SQL-инъекция (SQLi) и межсайтовый скриптинг (XSS) — это уязвимости безопасности веб-приложений, но они различаются по своей природе и способам использования.

Внедрение SQL — это атака, при которой злоумышленник внедряет вредоносный код SQL в базу данных веб-приложения через уязвимое поле ввода, например окно поиска или форму входа. Он включен в список OWASP Top 10 .

Целью злоумышленника является получение конфиденциальной информации или изменение содержимого базы данных.

Например, злоумышленник может использовать SQL-инъекцию, чтобы обойти аутентификацию и получить доступ к административной панели веб-сайта.

С другой стороны, межсайтовый скриптинг (XSS) — это атака, при которой злоумышленник внедряет вредоносный код, обычно JavaScript, на веб-страницу, просматриваемую другими пользователями.

Цель злоумышленника — украсть конфиденциальную информацию или выполнить несанкционированные действия от имени жертвы, например, украсть учетные данные для входа или выполнить фишинговую атаку.

Ключевое различие между SQLi и XSS заключается в цели атаки. SQLi нацелен на серверную часть веб-приложения и предназначен для управления базой данных.

XSS нацелен на клиентскую часть веб-приложения и направлен на управление поведением веб-браузера пользователя.

С точки зрения предотвращения SQLi и XSS можно предотвратить путем надлежащей проверки и очистки пользовательского ввода на стороне сервера и реализации мер безопасности, таких как фильтрация ввода, параметризованные запросы и политика безопасности содержимого (CSP).

7 способов использования приложений XSS-атаками

1. Злоумышленник может украсть файлы cookie жертвы, внедрив вредоносный скрипт на веб-страницу. Эти файлы cookie могут использоваться для захвата сеанса жертвы и выполнения несанкционированных действий от имени жертвы.

2. Кейлоггинг: Злоумышленник может использовать XSS-атаку для внедрения сценария, который записывает нажатия клавиш жертвы, что позволяет злоумышленнику украсть конфиденциальную информацию, такую как учетные данные для входа.

3. Фишинг: Злоумышленник может использовать XSS-атаку для создания фальшивой формы входа, которая выглядит законной. И крадет учетные данные жертвы, когда они вводят их в поддельную форму.

4. Дефейс: Злоумышленник может использовать XSS-атаку для дефейса веб-сайта, внедрив сценарий, который изменяет содержимое веб-страницы, например текст, изображения или ссылки.

5. Распространение вредоносных программ: Злоумышленник может использовать XSS-атаку для внедрения сценария, который автоматически загружает и устанавливает вредоносное ПО на компьютер жертвы.

6. Clickjacking : Злоумышленник может использовать XSS-атаку для создания прозрачного наложения поверх законной веб-страницы, обманом заставляя жертву нажать на кнопку или ссылку, которая выполняет вредоносное действие.

7. Перехват сеанса: Злоумышленник может использовать XSS-атаку для кражи идентификатора сеанса жертвы, который может использоваться для выдачи себя за жертву и выполнения несанкционированных действий от ее имени.

Это всего лишь несколько примеров того, как XSS-атаки могут использоваться для эксплуатации веб-приложений. Воздействие XSS-атаки зависит от характера уязвимости и конфиденциальности данных, на которые направлена атака.

Три типа XSS-атак

Три основных типа межсайтовых сценариев (XSS) — отраженные XSS, сохраненные XSS и XSS на основе DOM. Каждый тип XSS-атаки работает по-разному, но все они включают внедрение вредоносного кода на веб-страницы, просматриваемые другими пользователями.

Вот некоторые пояснения и примеры каждого типа XSS-атак:

1. Отраженные XSS-атаки

Отраженные XSS-атаки включают в себя внедрение вредоносного кода в ответ веб-приложения, который отражает действия пользователя.

Это может произойти, когда пользователь отправляет форму с поисковым запросом или другим пользовательским вводом, а веб-приложение включает этот ввод в ответ без надлежащей проверки или очистки.

Если злоумышленник может внедрить тег сценария или другой вредоносный код в пользовательский ввод, это будет отражено пользователем и выполнено браузером.

Например, злоумышленник может создать URL-адрес, содержащий вредоносный скрипт:

https://example.com/search?q=

Когда жертва нажимает на эту ссылку и веб-приложение возвращает поисковый запрос в ответе, сценарий будет выполнен, и отобразится предупреждающее сообщение.

2. Сохраненные XSS

Сохраненные XSS-атаки включают внедрение вредоносного кода в базу данных веб-приложения, который затем отображается другим пользователям, просматривающим затронутую страницу. Это может произойти, когда веб-приложение позволяет пользователям публиковать содержимое, такое как комментарии или сообщения, которые хранятся в базе данных и отображаются для других пользователей.

Если злоумышленник может внедрить тег скрипта или другой вредоносный код в свой собственный контент, он будет сохранен в базе данных и запущен браузером, когда другие пользователи просматривают затронутую страницу.

Например, злоумышленник может опубликовать комментарий, содержащий вредоносный скрипт:

Когда другие пользователи просматривают страницу, содержащую комментарий, скрипт будет выполнено, и появится предупреждающее сообщение.

3. XSS на основе DOM

XSS-атаки на основе DOM подразумевают внедрение вредоносного кода в объектную модель документа (DOM) веб-страницы.

Это может произойти, когда веб-приложение включает пользовательский ввод в коде JavaScript, выполняемом браузером. Если злоумышленник может внедрить тег скрипта или другой вредоносный код в пользовательский ввод, он будет выполнен браузером при выполнении кода JavaScript.

Например, если веб-страница содержит код JavaScript, который задает значение поля ввода на основе параметра запроса, злоумышленник может создать URL-адрес, содержащий вредоносный скрипт:

https://example.com/page.html#input

Сценарий будет выполнен, когда жертва посетит этот URL-адрес, и появится предупреждающее сообщение. будет отображаться.

Как можно протестировать межсайтовый скриптинг?

Вот несколько шагов, которые вы можете выполнить для проверки XSS-уязвимостей:

Используйте автоматизированные инструменты

Используйте автоматизированные инструменты, такие как Indusface WAS , для сканирования веб-приложения на наличие XSS-уязвимостей. Эти инструменты могут выявлять распространенные уязвимости XSS, в том числе отраженные XSS и сохраненные XSS.

Просмотрите код

Просмотрите исходный код веб-приложения, чтобы определить области, в которых пользовательский ввод принимается и отображается. Это могут быть формы, поля поиска, разделы комментариев и другие интерактивные элементы.

Провести тестирование на проникновение

Хотя это можно сделать собственными силами, вы можете воспользоваться планом Indusface WAS Premium , который включает ежегодное тестирование с помощью пера и повторную проверку отчетов с помощью автоматического сканера.

Вот тестовые случаи, которые вы должны учитывать при тестировании на проникновение:

Проверка полей ввода — Проверка полей ввода путем отправки различных типов данных, включая специальные символы, теги HTML и код JavaScript. Ищите любое неожиданное поведение, такое как неэкранированный пользовательский ввод, отраженный обратно в ответе.

Проверка сценариев на стороне клиента — Проверьте наличие сценариев на стороне клиента, используемых в веб-приложении, и попытайтесь манипулировать предоставленными входными данными. Например, проверьте, как ведет себя веб-приложение, когда вы отправляете пользовательский ввод в параметры URL или заголовки HTTP-запроса.

Проверить сообщения об ошибках — Проверить наличие сообщений об ошибках, отображаемых веб-приложением, и попытаться внедрить в сообщения код сценария. Если браузер выполняет код скрипта, это может указывать на XSS-уязвимость.

Проверка фильтров — Найдите любые установленные фильтры, которые пытаются блокировать определенные символы или теги HTML. Попробуйте обойти эти фильтры, закодировав ввод или используя различные варианты символов.

Тестовые расширения браузера – Используйте расширения, такие как XSS Me , расширение Firefox, помогающее выявлять XSS-уязвимости.

Проверка с использованием разных браузеров — Проверка веб-приложения с использованием разных браузеров и версий браузеров. Некоторые браузеры могут быть более уязвимы для XSS-атак, чем другие.

Важно отметить, что тестирование XSS-уязвимости — это непрерывный процесс, и уязвимости могут появляться по мере развития веб-приложения. Мы рекомендуем сканировать приложения как минимум раз в месяц и проводить тестирование на проникновение каждые 6 месяцев.

Как исправить уязвимость XSS ?

После того, как вы выполните описанные выше шаги для обнаружения уязвимости межсайтового скриптинга, вот несколько способов исправления уязвимостей:

Применить проверку ввода

Внедрение проверки ввода — один из наиболее эффективных способов предотвращения XSS атаки. Это включает в себя проверку пользовательского ввода, чтобы убедиться, что он соответствует ожидаемому формату и не содержит подозрительных символов или кода скрипта.

Реализовать кодирование вывода

Еще один способ предотвратить атаки с использованием межсайтовых сценариев — реализовать кодирование вывода, которое включает кодирование пользовательского ввода таким образом, чтобы он не интерпретировался браузером как код сценария.

Использование политики безопасности контента (CSP)

Политика безопасности контента (CSP) — это функция безопасности, позволяющая ограничивать типы контента, которые может загружать ваше веб-приложение. Внедрение CSP может предотвратить выполнение вредоносных сценариев в вашем веб-приложении.

Обновление программного обеспечения веб-приложений

Если уязвимость вызвана устаревшим или уязвимым программным обеспечением веб-приложений, программное обеспечение следует обновить до последней версии или установить последние обновления безопасности.

Используйте брандмауэр веб-приложений (WAF)

Брандмауэр веб-приложений (WAF) , такой как AppTrana, также может помочь предотвратить атаки XSS, отфильтровывая вредоносную полезную нагрузку до того, как она попадет в веб-приложение.

Как и в случае с процессом обнаружения уязвимостей, исправление уязвимостей должно быть непрерывным. Благодаря выделенным спринтам для исправления вы всегда будете в курсе открытых уязвимостей, которые находят ваши автоматические сканеры и пен-тестеры.

Как WAF блокирует атаки с использованием межсайтовых сценариев?

Хотя регулярное исправление полезно, иногда разработчики не могут исправить уязвимость, поскольку она может существовать в стороннем коде или подключаемом модуле, который они используют в исходном коде.

Таким образом, для разработчиков становится обязательным ждать, пока третья сторона не выпустит патч. Они не могут дождаться патча, так как может произойти атака. Именно здесь появляется WAF, такой как Indusface AppTrana , с возможностью виртуально исправить уязвимость XSS на уровне WAF.

AppTrana использует усовершенствованный механизм оценки аномалий, основанный на проверке входных данных, сигнатурах, поведенческом анализе и анализе угроз, чтобы блокировать атаки на уровне запроса.

Вы также можете использовать AppTrana для реализации кодирования вывода и политики безопасности контента.

This entry was posted in Популярное

Posted:

Comments: