XSS czyli atak Cross Site Scripting - na czym polega i jakie zagrożenia ze sobą niesie

Software house

Blog

Data wpisu

listopad 3, 2021

Autor

Mateusz Kuba

W dzisiejszych czasach o wiele dokładniej jest myśleć o witrynach internetowych jako o aplikacjach internetowych, które wykonują szereg funkcji, niż o starych, statycznych stronach www. Duża część tej solidnej funkcjonalności wynika z powszechnego używania języka programowania JavaScript. Chociaż JavaScript umożliwia stronom internetowym robienie całkiem fajnych rzeczy, zawiera również nowe i unikalne luki w zabezpieczeniach — przy czym jednym z najważniejszych zagrożeń jest skrypt XSS. Sprawdźmy zatem czym jest atak Cross Site Scripting.

Czym jest XSS czyli atak Cross Site Scripting?

Cross-site scripting (XSS) to atak, w którym osoba atakująca przesyła złośliwe skrypty wykonywalne do kodu zaufanej aplikacji lub strony internetowej. Atakujący często inicjują atak XSS, wysyłając użytkownikowi złośliwy link i zachęcając go do kliknięcia go. Jeśli w aplikacji lub witrynie brakuje odpowiedniego oczyszczenia danych, złośliwe łącze wykonuje wybrany przez atakującego kod w systemie użytkownika. W rezultacie osoba atakująca może ukraść aktywny plik cookie sesji użytkownika. W przeciwieństwie do ataków typu Remote Code Execution (RCE), kod jest uruchamiany w przeglądarce użytkownika. Po pierwszym zainfekowaniu witryna zazwyczaj nie jest w pełni kontrolowana przez atakującego. Zamiast tego przestępca dołącza swój złośliwy kod do legalnej strony internetowej, zasadniczo nakłaniając przeglądarki do uruchamiania złośliwego oprogramowania za każdym razem, gdy strona jest ładowana.

Hacker

Jak działa Cross Site Scripting?

Ponieważ JavaScript jest uruchamiany na stronie przeglądarki ofiary, wrażliwe dane uwierzytelnionego użytkownika mogą zostać wykradzione z sesji, co zasadniczo pozwala przestępcy na atakowanie administratorów witryny i całkowite złamanie zabezpieczeń witryny. Innym popularnym zastosowaniem ataków typu cross-site scripting jest sytuacja, w której luka jest dostępna na większości publicznie dostępnych stron witryny. W takim przypadku osoby atakujące mogą przesłać swój kod, aby zaatakować odwiedzających witrynę, dodając własne reklamy, monity phishingowe lub inną złośliwą zawartość.

Konsekwencje ataku Cross Site Scripting

XSS może powodować różne problemy dla użytkownika końcowego, od irytacji do całkowitego naruszenia bezpieczeństwa konta. Najpoważniejsze ataki XSS polegają na ujawnieniu pliku cookie sesji użytkownika, co umożliwia atakującemu przejęcie sesji użytkownika i przejęcie konta. Inne szkodliwe ataki obejmują ujawnienie plików użytkownika końcowego, instalację programów koni trojańskich, przekierowanie użytkownika na inną stronę lub witrynę lub modyfikację prezentacji treści. Luka XSS umożliwiająca atakującemu modyfikację komunikatu prasowego lub wiadomości może wpłynąć na cenę akcji firmy lub zmniejszyć zaufanie konsumentów. Luka XSS w witrynie farmaceutycznej może umożliwić atakującemu zmodyfikowanie informacji o dawkowaniu, co spowoduje przedawkowanie.

Praca:

3 aktywne oferty pracy

Wszystkie oferty

React.js developer (mid)

7000 - 15000 PLN + VAT

React.js Developer (junior)

3000 - 6000 PLN + VAT

Case study:

3 dostępne case study

Zobacz wszystkie

Case study growcreator.eu V1 - rozwój MVP produktu na podstawie danych z narzędzi analitycznych.

Od początku zakładaliśmy, że pierwsza wersja MVP produktu nie będzie jego ostatnią odsłoną. Projekt nie ma odpowiednika na rynku, duża część zaimplementowanych funkcjonalności była innowacyjna i wymagała weryfikacji w środowisku produkcyjnym, generując ruch realnych użytkowników.