Гладиаторы - меню
Гладиаторы - меню

Страшный XSS (межсайтовый скриптинг) - что нужно знать пользователям об этой атаке

Атака с использованием межсайтового скриптинга (XSS) проявляется через внедрение вредоносного кода в веб-страницу, который исполняется на стороне пользователя (клиента). Это может происходить различными способами, например, пользователи могут быть перенаправлены на вредоносные сайты, вредоносный код может записывать нажатия клавиш пользователей, злоумышленник получит доступ к истории просмотра и содержимому буфера обмена, выполнится скрипт при загрузке страницы или наведении курсора на определенные элементы страницы.


На этой неделе рассматриваем еще один из основных видов атак, которые активно используются хакерами. На сайте вы уже можете найти статьи о других атаках: фишинг, атаки на цепочку поставок, DDoS-атаки, брутфорс, спуфинг, Человек посередине, SQL-инъекции.


Межсайтовый скриптинг (XSS) — это тип атаки на веб-системы, при которой вредоносный код внедряется в страницу, отображаемую веб-сервером, и выполняется на компьютере пользователя при открытии этой страницы. XSS является разновидностью атаки «Внедрение кода» и может использоваться для получения несанкционированного доступа к данным пользователя или выполнения действий от его имени.


Один из ярких примеров применения межсайтового скриптинга произошел в 2013 году, когда социальная сеть LinkedIn подверглась атаке. Злоумышленники внедрили вредоносный код в комментарии на страницах профилей пользователей, что позволило им красть файлы cookie сеансов и получать доступ к аккаунтам. Были скомпрометированы учетные записи многих влиятельных пользователей - высокопоставленных лиц и руководителей крупных компаний.


Атака была осуществлена с использованием хранимого межсайтового скриптинга, где вредоносный код был сохранен на сервере LinkedIn и выполнялся в браузерах пользователей при посещении зараженных страниц. Это подчеркнуло важность регулярного тестирования на уязвимости и необходимость принятия мер по предотвращению подобных атак.



Содержание:

Команда редакторов "Гладиаторы ИБ"
Дата публикации: 21.09.2024
Время прочтения 7 минут
Существует несколько видов XSS-атак:

  1. Отражённые (непостоянные) XSS: атака основана на отражённой уязвимости, когда данные, предоставленные пользователем, например, в параметрах HTTP-запроса или в форме HTML, исполняются серверными скриптами без надлежащей обработки. Например, если сайт не экранирует угловые скобки, превращая их в «<» и «>», то скрипт будет выполнен на странице результатов поиска.
  2. Хранимые (постоянные) XSS: вредоносный код сохраняется на сервере и выполняется каждый раз при обращении к оригинальной странице. Это может произойти, например, если злоумышленник сможет внедрить вредоносный код в комментарии на форуме, которые сохраняются на сервере.
  3. DOM-модели XSS: атака происходит на стороне клиента во время обработки данных внутри JavaScript-сценария. Она реализуется через Document Object Model (DOM), которая позволяет программам и сценариям получать доступ к содержимому HTML и XML-документов.

Атака с использованием межсайтового скриптинга (XSS) происходит, когда злоумышленник внедряет вредоносный код в доверенный веб-сайт. Этот код затем исполняется в браузере жертвы, когда она посещает зараженный сайт. Процесс атаки включает в себя несколько ключевых этапов:
  1. Поиск уязвимого сайта: Злоумышленники ищут веб-сайты с уязвимостями, которые позволяют внедрять вредоносный код. Эти уязвимости могут быть связаны с недостатками в обработке пользовательского ввода, например, в формах комментариев или полей для ввода данных.
  2. Внедрение вредоносного кода: После обнаружения уязвимости, злоумышленник внедряет вредоносный код в контент веб-сайта. Это может быть сделано через комментарии на форумах, поля для ввода данных или другие формы пользовательского ввода.
  3. Выполнение вредоносного кода: Когда жертва посещает зараженный сайт, вредоносный код включается в динамический контент, отображаемый в браузере. Поскольку браузер не знает, что код является вредоносным, он выполняет его.
  4. Получение доступа к конфиденциальной информации: Выполненный вредоносный код может получить доступ к файлам cookie, идентификаторам сеансов и другой конфиденциальной информации, сохраненной браузером и используемой на этом сайте.
  5. Распространение: Злоумышленники могут использовать XSS для распространения вредоносных программ, перезаписи содержимого веб-сайтов, сбора данных или влияние на репутацию в социальных сетях, фишинга с целью получения учетных данных пользователей.

Атака XSS отличается от других веб-атак тем, что она нацелена не на само приложение, а на пользователей этого приложения. Риску подвергаются пользователи, посещающие зараженный сайт, а само приложение скомпрометировано через уязвимости серверной обработки ДО фактической атаки. Это делает XSS особенно опасной, поскольку она может нанести вред большому количеству людей без непосредственного воздействия на само приложение.

Атака с использованием межсайтового скриптинга (XSS) может иметь серьезные последствия для безопасности и конфиденциальности пользователей, а также для репутации и финансового состояния компаний, владеющих ресурсами. Вот ключевые последствия такой атаки:
  1. Кража данных: Злоумышленники могут использовать вредоносные скрипты для кражи личных данных пользователей, включая логины и пароли, что приводит к компрометации аккаунтов и утечкам конфиденциальной информации.
  2. Фишинг: Атакующие могут вставлять поддельные формы на зараженные страницы с целью сбора личной информации, создавая угрозу для множества пользователей.
  3. Неавторизованный доступ: Вредоносные скрипты могут предоставить атакующим доступ к административным функциям сайта, что позволяет им заразить и контролировать его.
  4. Распространение вредоносного ПО: Успешные атаки могут использоваться для распространения вирусов и других типов вредоносных программ, увеличивая риски для всех пользователей системы.

Чтобы защититься от атаки межсайтового скриптинга (XSS), рекомендуется принять следующие меры. Они делятся на меры для защиты собственно серверов (приложений) и пользователей. Начнем с пользователей:
  1. Используйте специализированный менеджер паролей: Такие инструменты обеспечивают безопасное хранение паролей и управление ими, используя надежное шифрование. Это помогает минимизировать риск эксплуатации уязвимостей браузеров.
  2. Включите многофакторную аутентификацию: Это дополнительный уровень защиты, требующий подтверждения личности пользователя несколькими способами, что затрудняет несанкционированный доступ даже при компрометации основного пароля.
  3. Регулярно обновляйте программное обеспечение: Обновления содержат исправления известных уязвимостей, которые могут быть использованы злоумышленниками.
  4. Установите расширения безопасности: Блокировщики рекламы и скриптов помогают предотвратить загрузку вредоносных скриптов в браузер. Это же могут делать продвинутые антивирусные программы.
  5. Остерегайтесь подозрительных ссылок: Избегайте перехода по ссылкам из ненадежных источников. Проверяйте URL-адреса перед переходом. Внедряйте инструменты автоматизированного обучения и проверки знаний сотрудниками, чтобы они не поддавались на подобные “провокации”.
  6. Регулярно очищайте данные браузера: Очищайте кэш, файлы cookie и историю браузера, чтобы предотвратить доступ злоумышленников к кэшированным версиям скомпрометированных страниц. “Ухаживайте” за компьютерами или доверьте это своей ИТ службе.

Для защиты серверов (приложений):
  1. используйте инструменты для контроля безопасной разработки - они позволят избежать ошибок, когда приложение некорректно обрабатывает ввод со стороны пользователей и таким образом создает уязвимости для XSS атак. Сканеры безопасности исходного кода будут инструментом для конвейера безопасной разработки
  2. применяйте сканеры для контроля периметра и регулярного тестирования веб приложений - как если бы хакеры искали их на вашем периметре, делайте тоже самое, только с опережением. Платформы класса External-ASM или CPT позволяют это реализовать с оперативным уведомлением о найденных уязвимостях
  3. перед веб сервером устанавливайте WAF (Web Application Firewall) или хотя бы NGFW (все-таки лучше, чем ничего, но WAF полноценно он не заменит!)

Межсайтовый скриптинг - распространенная атака, которая активно используется хакерами. Важно принимать меры по защите информационной системы от нее. Как именно сделать это в вашей организации, подскажем на бесплатной консультации! Записывайтесь на нее, оставив контакты ниже.
07 декабря 2024г.
Почему бизнес сомневается в эффективности систем защиты информации
30 ноября 2024г.
Цена безопасности: насколько дорого обходятся услуги защиты информации
16 ноября 2024г.
Как выбрать надежные средства защиты информации - полезные советы и рекомендации
09 ноября 2024г.
Как закон помогает сделать компанию защищенной от хакеров и атак
02 ноября 2024г.
Как хакеры атакуют компании - на что обратить внимание и остаться устойчивым
26 октября 2024г.
Что значит информационная безопасность для бизнеса и почему нельзя отказаться от защиты
20 октября 2024г.
Искусственный интеллект атакует - как и от чего защищать информационные системы в условиях применения ИИ
19 октября 2024г.
Чеклист по защите сети компании
13 октября 2024г.
Чеклист по выбору и настройке SIEM системы
12 октября 2024г.
Защита облачных сервисов
05 октября 2024г.
Защита данных при работе с облачными документами
28 сентября 2024г.
Чеклист для защиты CRM
21 сентября 2024г.
Страшный XSS (межсайтовый скриптинг) - что нужно знать всем пользователям об этой атаке
14 сентября 2024г.
“Проткни меня, если сможешь” - как атакуют вебсайты и базы данных SQL инъекциями
07 сентября 2024г.
подмена сертификата и мошеннический сайт - откуда берутся атаки “Man in the middle”
31 августа 2024г.
"Обмани меня" - какие бывают спуфинг атаки и как защищаться от этих атак
24 августа 2024г.
Остановить BruteForce малой кровью - как защититься от атак перебора паролей и что это такое
17 августа 2024г.
Что такое DDoS атака и почему бизнес страдает когда клиентские сервисы недоступны
10 августа 2024г.
Атака на цепочку поставок: насколько реально защитить свой бизнес от партнеров и подрядчиков
02 августа 2024г.
Защита от фишинга для компании и сотрудников | «Гладиаторы ИБ»
27 июля 2024г.
Почему нельзя экономить на резервных копиях или как все не потерять из-за шифровальщика
20 июля 2024г.
Чеклист по защите веб сервера компании. Как не дать взломать свой магазин
13 июля 2024г.
Чеклист по защите электронной почты для компании
06 июля 2024г.
Пользователь и его компьютер - одна из главных угроз. Чеклист по защите компьютера пользователя
29 июня 2024г.
Как защитить сервер компании от угроз со стороны хакеров?
22 июня 2024г.
Опасное заблуждение: "Системы информационной безопасности неэффективны и бесполезны! Это пустая трата денег!"
20 июня 2024г.
Безопасность периметра сети - качественный МСЭ или как клиент понял, что у него сеть "дырявая"
13 июня 2024г.
Почему намного дешевле защитить компанию сейчас, чем ждать, что “со мной взлом никогда не случится”
08 июня 2024г.
Как компании выбрать надежное решение по защите данных из множества, доступных на рынке?
01 июня 2024г.
Почему кибер атаки на бизнес проходят незамеченными или как можно оперативно выявить нарушителя безопасности
25 мая 2024г.
Вирус шифровальщик - как вылечить, защититься и расшифровать данные? | Статьи | «Гладиаторы ИБ»
18 мая 2024г.
Инструкция по безопасной настройке CRM от компании «Гладиаторы ИБ»
11 мая 2024г.
Как защитить данные от утечки и кражи сотрудниками? | Статьи | «Гладиаторы ИБ»
09 мая 2024г.
Вредные советы: как НЕ надо строить безопасность в компании
04 мая 2024г.
Хватит внедрять “техничку” для безопасности - настрой бизнес-процессы
27 апреля 2024г.
Зачем вообще защищать персональные данные (ПДн)
25 апреля 2024г.
Как безопасно работать с подрядчиками
20 апреля 2024г.
Защита от утечки конфиденциальных данных компании | Статьи | «Гладиаторы ИБ»
05 апреля 2024г.
Надежная двухфакторная аутентификация, и как она позволяет экономить | Статьи | «Гладиаторы ИБ»
Показать еще

Есть вопросы или запрос на проект по безопасноcти?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности