Что такое атака XSS и что вы можете с этим сделать?
Мир начинает осознавать проблему, известную как уязвимость межсайтового скриптинга (XSS). Хотя я считаю, что это хорошо, что проблема решается на веб-сайтах по всему миру, я не думаю, что хорошо оставаться в неведении о том, что это такое. В конце концов, большинство атак XSS можно предотвратить потенциальной жертве. В интернете ваша ответственность — защитить себя от любой угрозы, иначе вы станете жертвой. Чтобы понять, как вы можете защитить себя от XSS, вы должны сначала знать, что такое XSS и как оно может повлиять на вас, а затем как его предотвратить.
Что такое XSS?
Определение содержится в его названии. Атака XSS выполняется путем изменения URL таким образом, чтобы в него могли быть внедрены определенные скрипты. Например, вы можете заставить совершенно другой веб-сайт появиться в рамках URL-адреса назначения.
Посмотрите на пример измененного URL:
Видите, где был внедрен скрипт? В этом примере это довольно просто, потому что он начинается с “
Как XSS влияет на вас?
XSS можно использовать различными способами. Некоторые могут просто разместить ссылку в Twitter, содержащую вредоносный URL. Twitter выполняет половину работы за них, частично скрывая URL. Контекстные ссылки на ненадежных блогах и веб-сайтах могут содержать URL, замаскированные под «анкорный текст» (что является еще одним модным способом описания текста, который подчеркнут и синий).
Когда вы нажимаете на ссылку, может произойти множество вещей. В лучшем случае вы просто столкнетесь с «шуткой», так сказать. Другими словами, вы будете перенаправлены на страницу с кучей поддельного контента, возможно, показывающей кредит группе, которая выполнила атаку XSS. В худшем случае ваш браузер будет испытывать кошмарные симптомы. У вас может измениться домашняя страница, и на вашем компьютере могут возникнуть различные неприятности в результате выполненного вредоносного ПО.
XSS также может использоваться для отслеживания вас, устанавливая куки на вашем компьютере без вашего согласия. Сбор этих данных может позволить хакерам лучше понять «цифровую демографию» людей, которых они нацеливают для будущих инфекций вредоносным ПО. В таком случае вы можете даже не заметить, что что-то происходит на вашем компьютере или мобильном устройстве.
Насколько опасен XSS?
С учетом всего, XSS обычно не очень опасен. Это может быть раздражающим, но не приведет к долгосрочным последствиям, по крайней мере, в краткосрочной перспективе. Однако будьте осторожны с комбинациями атак XSS и другими видами вредоносного поведения!
Например, предположим, что Facebook уязвим к XSS. Хакер может легко внедрить поддельную страницу входа на URL Facebook. Вы успешно войдете в систему (поскольку поддельная страница может отправить ваши учетные данные как на Facebook, так и в свою собственную базу данных), но хакер теперь будет иметь ваше имя пользователя и пароль. Вот где истинная опасность XSS проявляется.
Как защитить себя от XSS
Однажды XSS станет просто пережитком прошлого. Но до тех пор вам нужно научиться предотвращать попадание в ловушку XSS. Каждый раз, когда вы заходите на страницу, посмотрите на URL. Если есть что-то, указывающее на наличие скрипта (например, символы «<» и «>», окружающие слово), то разумно использовать ваше усмотрение и, возможно, уйти. Также следите за URL ссылок. Щелкните правой кнопкой мыши по каждой ссылке и скопируйте ее в буфер обмена. Вставьте URL в ваше приложение для заметок и проверьте его, прежде чем заходить.
Если у вас есть веб-сайт, который вы разрабатываете сами, прочитайте этот шпаргалку. Это защитит вас и ваших посетителей от XSS. Обязательно отправьте шпаргалку любым веб-разработчикам, которых вы знаете. Им это будет приятно.
Если у вас есть еще вопросы о XSS, не стесняйтесь оставить их в комментариях ниже!
