Co to jest cross-site scripting? (XSS)

1103

Cross-site scripting (XSS) to luka w zabezpieczeniu strony umożliwiająca hakerom umieszczenie szkodliwego skryptu na zaufanej stronie lub w zaufanej aplikacji, który powoduje zainstalowanie złośliwego oprogramowania w przeglądarkach użytkowników. Za pomocą tej techniki hakerzy raczej nie atakują ani nie przekierowują użytkowników, lecz po prostu przesyłają swoje złośliwe oprogramowanie dużej grupie osób.

Celem ataków XSS jest kod (inaczej skrypt) strony internetowej wykonywany przez przeglądarkę internetową użytkownika, a nie po stronie serwera strony. Gdy użytkownik jest atakowany, do przeglądarki trafiają złośliwe skrypty, które szkodzą komputerowi. Ataki XSS przyjmują najróżniejszą postać, ale zwykle mają na celu gromadzenie prywatnych danych, przekierowywanie ofiar na strony kontrolowane przez hakerów lub zmuszenie komputerów do wykonywania zadań w imieniu hakerów.

Jak wyglądają ataki Cross-site scripting XSS?

Strony internetowe cały czas przechowują dane w przeglądarkach i wysyłają do nich informacje. Ataki XSS mają miejsce, gdy niezaufane źródła wysyłają użytkownikom szkodliwą treść, wykorzystując przy tym luki w zabezpieczeniach strony. Takie skrypty trafiają do przeglądarki, skąd próbują wykraść dane użytkownika lub zaszkodzić jego komputerowi. Na przykład: gdy użytkownik szuka czegoś online, strona wysyła informacje do przeglądarki w postaci wyników wyszukiwania. Podczas ataku XSS informacje te mogą zawierać złośliwe oprogramowanie, które może wykraść dane użytkownika. Ponieważ niemal każda strona wymaga przechowywania danych w przeglądarkach, XSS to najczęstsza luka w dzisiejszym oprogramowaniu.

Jak rozpoznać atak XSS?

Niestety przeglądarka nie jest w stanie rozpoznać podejrzanych skryptów i automatycznie uruchamia wszystkie, które otrzymuje. W związku z tym złośliwe oprogramowanie otrzymuje dostęp do wszelkich prywatnych informacji przechowywanych w przeglądarce lub zapisanych na stronie internetowej. To oznacza, że ataku XSS praktycznie nie da się wykryć.

Jak usuwać luki umożliwiające przeprowadzenie ataku XSS?

Odpowiedzialność za wykrywanie i usuwanie luk umożliwiających instalację skryptu XSS leży po stronie właścicieli stron, ponieważ to na nich znajdują się szkodliwe kody, który infekują nieświadomych użytkowników. Unikanie podejrzanych stron nie pomoże, ponieważ problem ten dotyczy wszystkich stron, zarówno zaufanych, jak i podejrzanych. Na szczęście są narzędzia, które umożliwiają skanowanie stron pod kątem luk XSS.

Jak zapobiec atakowi XSS

  • Zainstaluj na komputerze godne zaufania, sprawdzone oprogramowanie antywirusowe.
  • Włącz funkcję automatycznej aktualizacji oprogramowania.
  • Pobierz program skanujący, który będzie szukał luk w kodzie strony internetowej.

Zabezpiecz się przed atakiem XSS

Aby zabezpieczyć się przed atakiem XSS, nie wystarczy unikać podejrzanych stron. Żeby ochronić komputer przed uszkodzeniem lub utratą danych spowodowanymi wirusem lub złośliwym oprogramowaniem.