ОБНАРУЖЕНИЕ И ПРОФИЛАКТИКА XSS-АТАК
Атаки XSS происходят, когда в веб-форму вводится код, а затем пользователь выполняет код вредоносного сценария из веб-браузера. В этом процессе простейшая атака XSS происходит из-за неправильной обработки данных пользователем. Руководство по разработке безопасности OWASP содержит три правила обработки пользовательских данных:
• Принимайте только известные действительные данные.
• Отклонены вредные данные.
• Очистить вредоносные данные.
Хотя многие приложения имеют стандартизированное написание кода, более 60% веб-сайтов по-прежнему уязвимы для атак XSS. Атаки на основе XSS и их последствия очень серьезны. Поэтому очень важно обнаруживать и предотвращать атаки XSS.
Методы обнаружения атак XSS можно разделить на методы статического обнаружения и методы динамического обнаружения. Статическое обнаружение заключается в том, чтобы проанализировать исходный код программы, взглянув на код, чтобы найти возможные уязвимости XSS. Динамическое тестирование - это процесс моделирования пользовательских операций. Он использует инструменты (такие как Fiddler или Burp Suite и т. д.) Или вручную передает точку внедрения в конкретный сценарий и определяет, есть ли XSS-атака, основываясь на ответе сервера. Кроме того, существует множество автоматизированных инструментов, которые также могут выполнять обнаружение XSS. Например, xsser - это инструмент безопасности для автоматического тестирования на проникновение XSS-уязвимостей. Он специально предназначен для обнаружения и использования уязвимостей межсайтового скриптинга в различных приложениях, обхода определенных параметров и фильтрации специального кода внедрения. Также Xelenium - это инструмент тестирования безопасности, производимый OWASP. Он написан на Java Swing и может использоваться для обнаружения уязвимостей безопасности в веб-приложениях.
Атаки XSS - это использование неполной компиляции веб-страницы, что затрудняет использование одной функции для предотвращения всех XSS-атак. Основным методом предотвращения XSS-атак является сопоставление функций, которое выполняет проверки соответствия для всей представленной информации. Однако недостаток этого метода обнаружения очевиден: хакеры могут уклоняться от обнаружения, вставляя символы или полностью кодируя. В настоящее время исследователи использовали руководящие принципы с открытым исходным кодом из разных источников для изучения методов обнаружения и предотвращения атак XSS.
Просмотр скрытого контента доступен для зарегистрированных пользователей!
Последнее редактирование модератором: