XSS - Cross Site Scripting - Global Standards Consortium

XSS - Cross Site Scripting

Cross Site Scripting je najrašireniji sigurnosni propust u veb aplikacijama. Događa se kad aplikacija prihvati neproverene podatke i pošalje ih browseru bez prave provere . To napadačima omogućava da izvršavaju skripte u browseru žrtve, čime se može preuzeti kontrola nad korisničkom sesijom, ili preusmeriti na maliciozne linkove.

3 osnovne karakteristike XSS napada su:

XSS napadi se odvijaju na ranjivim veb aplikacijama;
U XSS napadima žrtva je korisnik, a ne aplikacija;
U XSS napadima zlonamerni sadržaj isporučuje se pomoću JavaScript-a.

XSS napadi se primarno događaju zbog neadekvatnog čišćenja korisnikovog inputa.

Razmotrimo slučaj gde hipotetički veb sajt ima formu na veb stranici koja prihvata korisnikovu imejl adresu da bi mu slala nove vesti. Veb aplikacija koja obrađuje imejl adresu možda nije dobro programirana. Zbog ovih nedostataka u izvornom kodu koji prihvata input od korisnika i dalje ga obrađuje, haker ima mogućnost da pokrene svoj sopstveni, maliciozni kod.

Primer XSS napada:

Pogledajmo link sajta koji ima ovakav URL:

xss-link1

U ovom primeru “name” parametar se koristi da bi se definisale name vrednosti za korisnika. Veb sajt koristi ovu vrednost da bi ispisao “Hello GSC” na veb strani. U ovom primeru, haker može upotrebiti parametar “name” tako što će dodati malware informacije na parametar “name” umesto očekivanog imena kao sto je navedeno u sledećem linku:

xss-link2

U ovom slučaju izvršiće se skripta i izbaciće obaveštenje “XXS vulnerability”, takođe pravi malware kod može da se pokrene na sajtu uz primenu iste tehnike.

Ovakav napad je uspešan zbog veb aplikacije koja analizira URL i omogućava rad veb sajta, netačno i neispravno daje instrukcije korisniku da uvek stvalja sigurne podatke. Zapravo, on uopšte nije pripremljen za ovakve pretnje. U ovom slučaju haker koristi benigni veb sajt da bi pokrenuo malware napad na korisnika koji nema nikakvu sumnju, a vlasnik veb sajta obično nema nikakvu predstavu da se njegov veb sajt koristi za izvršenje zlonamernog koda.

Kako otkriti da je Vaš sajt podložan XSS napadima i šta preduzeti?

Obavezno proveriti softver koji omogućava rad vašeg sajta, da li uzima korisnikov input direktno i odmah ga koristi bez filtriranja!
Nadogradnja najnovije verzije softvera.
Proverite da li su plagini trećeg lica koje koristi sajt u opasnosti zbog podložnosti XSS napadima.
Sprovedite skeniranje procene ranjivosti sajta da biste saznali da li ima bilo kakvih XSS slabih tačaka. Bilo kakva slaba tačka bi trebala sto pre da se otkloni ili popravi.
Koristite Web Application Firewall da biste sprečili štetne napade na Vaš sajt.