Что такое XSS? Объяснение атак межсайтового скриптинга


Межсайтовый скриптинг (XSS) — это кибератака, при которой хакер вводит вредоносный код в веб-форму или URL-адрес веб-приложения. Этот вредоносный код, написанный на языке сценариев, таком как JavaScript или PHP, может делать что угодно: от вандализма на веб-сайте, который вы пытаетесь загрузить, до кражи ваших паролей или других учетных данных для входа.

XSS использует важный аспект современной сети, а именно то, что большинство веб-сайтов создаются «на лету» при загрузке страниц, иногда путем выполнения кода в самом браузере. Это может затруднить предотвращение таких атак.

Как работает XSS

Любой может создать веб-сайт, содержащий вредоносный код. При атаке с использованием межсайтовых сценариев злоумышленник настраивает все таким образом, чтобы его код попадал на компьютер жертвы, когда жертва получает доступ кто-то еще’сайт. Отсюда и «крест» в названии. XSS-атакам удается осуществить это без необходимости получать привилегированный доступ к веб-серверу, чтобы тайно внедрить на него код. Вместо этого злоумышленники используют преимущества современных веб-страниц.

Если бы кто-то попросил вас дать базовое, начальное объяснение сети, вы, вероятно, ответили бы примерно так: человек, который хочет создать веб-страницу, пишет HTML-документ, который он загружает на веб-сервер; когда пользователь хочет получить доступ к этой странице, он указывает в своем браузере адрес сервера, и браузер загружает код HTML и интерпретирует его, чтобы создать версию веб-страницы для пользователя.

В этом описании нет ничего неправильного, но есть аспекты, которые устарели (и устарели уже десять лет или даже больше). Во-первых, многие, если не все веб-страницы, теперь являются динамическими, т. е. они не показывают один и тот же статический HTML-код каждому посетителю, а создаются «на лету» на основе информации, содержащейся в базе данных сервера, когда браузер запрашивает доступ. . То, какую страницу браузер возвращает с сервера, часто зависит от информации, которую он отправляет вместе со своим запросом, — информации, которая иногда принимает форму параметров в URL-адресе, используемом для доступа к сайту. И веб-сайты состоят не только из HTML и каскадных таблиц стилей (CSS), описывающих, как должны отображаться текст и графика; они также включают исполняемый код, написанный на языках сценариев, обычно JavaScript. Такое смешение данных, представления и исполняемого кода является своего рода «первородным грехом» веб-безопасности.

При атаке XSS хакер использует взаимодействие между пользователем и веб-сайтом, чтобы получить вредоносный код для выполнения на компьютере пользователя. Но как? Рассмотрим следующий URL-адрес:

© 2022 IDG Communications, Inc.

https://cyberxhack.org/