Napriek rýchlemu rozvoju výpočtovej techniky je zabezpečenie siete stále kritickým problémom. Jednou z najbežnejších sú chyby zabezpečenia XSS, ktoré umožňujú útočníkovi získať úplnú kontrolu nad internetovým zdrojom. Aby ste sa ubezpečili, že je váš web bezpečný, mali by ste ho prehľadať, či neobsahuje túto chybu zabezpečenia.
Inštrukcie
Krok 1
Podstata zraniteľnosti XSS spočíva v možnosti vykonania skriptu tretej strany na serveri, ktorý umožňuje hackerovi ukradnúť dôverné údaje. Súbory cookie sa zvyčajne odcudzia: útočník môže ich náhradou za svoje vlastné vstúpiť na web s právami osoby, ktorej údaje ukradol. Ak je toto správca, potom hacker vstúpi na web aj s oprávneniami správcu.
Krok 2
Zraniteľnosti XSS sa delia na pasívne a aktívne. Pri pasívnom použití sa predpokladá, že skript je možné na webe spustiť, ale na ňom neuložiť. Aby mohol hacker túto zraniteľnosť zneužiť, musí vás pod jednou alebo druhou zámienkou prinútiť kliknúť na odkaz, ktorý poslal. Napríklad ste administrátorom stránky, dostanete súkromnú správu a sledujete odkaz v nej uvedený. V takom prípade súbory cookie prejdú na sniffer - program na zachytenie údajov, ktoré hacker potrebuje.
Krok 3
Aktívne XSS sú oveľa menej bežné, ale oveľa nebezpečnejšie. V takom prípade sa škodlivý skript uloží na webovú stránku - napríklad do príspevku na fóre alebo v knihe návštev. Ak ste zaregistrovaní na fóre a otvoríte takúto stránku, vaše súbory cookie sa automaticky odošlú hackerovi. Preto je také dôležité vedieť skontrolovať prítomnosť týchto chýb na vašom webe.
Krok 4
Na hľadanie pasívneho XSS sa zvyčajne používa reťazec "> alert (), ktorý sa zadáva do polí na zadávanie textu, najčastejšie do vyhľadávacieho poľa webu. Trik je v prvej úvodzovke: ak dôjde k chybe pri filtrovaní znakov sa úvodzovka vníma ako ukončenie vyhľadávacieho dotazu a skript po jeho vykonaní. V prípade chyby zabezpečenia sa na obrazovke zobrazí vyskakovacie okno. Zraniteľnosť tohto typu je veľmi častá.
Krok 5
Nájsť aktívne XSS sa začína kontrolou, ktoré značky sú na webe povolené. Pre hackera sú najdôležitejšie značky img a url. Skúste napríklad vložiť odkaz na obrázok do správy takto:
Krok 6
Ak sa krížik objaví znova, hacker je na pol ceste k úspechu. Teraz za príponu *.
Krok 7
Ako chrániť web pred útokmi prostredníctvom zraniteľností XSS? Snažte sa ponechať čo najmenej polí pre zadávanie údajov. Navyše aj prepínače, začiarkavacie políčka atď. Sa môžu stať „poľami“. Existujú špeciálne hackerské nástroje, ktoré zobrazujú všetky skryté polia na stránke prehliadača. Napríklad IE_XSS_Kit pre Internet Explorer. Nájdite tento nástroj, nainštalujte ho - bude pridaný do kontextovej ponuky prehliadača. Potom skontrolujte všetky polia svojho webu, či nie sú potenciálne zraniteľné.