Обнаружение и предотвращение атак XSS в веб-приложениях (ч.1)

22.05.2020
2
0
1
С популярностью веб-технологий веб-приложения становятся все более уязвимыми и подвергаются вредоносным атакам. Межсайтовый скриптинг (XSS) - это типичная атака в веб-приложениях. При использовании уязвимости злоумышленник может выполнить перехват сеансов, кражу файлов cookie, перенаправление вредоносных программ и распространение вредоносных программ.

Уязвимости веб-приложений стали одной из самых серьезных уязвимостей в Интернете. Наиболее распространенными являются атаки межсайтового скриптинга (XSS). Согласно статистике проекта Open Web Application Security top10 - 2017 (OWASP), атаки XSS являются одной из главных уязвимостей веб-приложений в последние годы. XSS - это инъекционная атака. Злоумышленники используют уязвимости веб-приложений для внедрения вредоносного кода сценария через поля ввода веб-страницы, обычно фрагменты сценария JavaScript, и эти вредоносные данные внедряются в удаленную веб-страницу, когда они читаются обратно клиенту. При повторном посещении сайта браузер пользователя автоматически загружает и интерпретирует выполнение этих вредоносных сценариев. Этот тип атаки приведет к тому, что вредоносный скрипт получит любые файлы cookie, токены сеанса и другую конфиденциальную информацию, хранящуюся в браузере или на веб-сайте.

Из-за его практического воздействия исследователи разработали множество методов, которые могут эффективно предотвращать выполнение сценариев при разборе и выполнении HTML. Кроме того, этот метод был реализован как клиентский XSS-фильтр в Google Chrome. Хотя исследователи и разработали вышеуказанные методы и методы для предотвращения атак XSS, атаки XSS все еще существуют в веб-приложениях и все еще очень вредны для веб-приложений.


Типы уязвимостей XSS

Во-первых, уязвимость XSS в основном используется злоумышленником для чтения файлов cookie пользователя веб-сайта или получения пароля учетной записи для входа в систему, замаскированного под веб-сайт входа пользователя, для получения разрешений пользователя.

1.png

Атаки XSS, можно разделить на два типа: непостоянные атаки и постоянные атаки. Непостоянные XSS-атаки являются одноразовыми и влияют только на текущее посещение страницы. Это требует от пользователя доступа злоумышленника к измененной ссылке. Когда пользователь заходит по ссылке, встроенный скрипт атаки выполняется браузером пользователя. Для достижения цели атаки. Постоянный XSS будет хранить данные злоумышленника на стороне сервера. Непостоянные XSS-атаки и постоянные XSS-атаки, основанные на внедрении сценариев XSS, можно подразделить на три категории: отражающие XSS-атаки, хранимые XSS-атаки и XSS-атаки на основе DOM.

Просмотр скрытого контента доступен для зарегистрированных пользователей!
 
Последнее редактирование модератором:

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Пользовательское меню