(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= 'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','GTM-5LLHNRP9'); thecodest, Kirjoittaja osoitteessa The Codest - Sivu 10 / 13
Työurat Ota yhteyttä
Työurat Ota yhteyttä

Hyökkäysskenaario

  1. Hyökkääjä löytää XSS-haavoittuvuuden uhrin käyttämältä verkkosivustolta, esimerkiksi pankin verkkosivustolta.
  2. Uhri on tällä hetkellä kirjautuneena tälle sivulle.
  3. Hyökkääjä lähettää uhrille väärennetyn URL-osoitteen.
  4. Uhri napsauttaa URL-osoitetta
  5. Uhrin pankki verkkosivusto, JavaScript koodi alkaa suorittaa siepatakseen käyttäjän tekemän tiedot tai tehdä hänen puolestaan siirto hyökkääjän tilille.

On syytä huomata, että uhrin puolesta suoritettavat operaatiot voivat olla uhrille näkymättömiä, sillä ne voivat tapahtua taustalla pankin pankkitunnuksilla. API, tai hyökkääjä voi suorittaa ne myöhemmin tunnistautumiseen tarvittavien tietojen, tunnisteiden, evästeiden jne. avulla.

XSS-tyypit

1. Heijastettu XSS

Tämä on sellainen, jossa minkä tahansa parametrin (esim. GET, POST tai eväste) sisältämä HTML/JavaScript-koodi näytetään vastauksena.

Sivu, jossa on tekstinsyöttö, jolla haetaan jotain, joka asettaa parametrin ?search=foo URL-osoitteen lopussa, kun API:ta kysytään. Jos jotain lausetta ei löydy, sen syöttämisen jälkeen annetaan palautusviesti HTML ex.

<div>Ei löytynyt tulosta <b>foo</b></div>

Voimme yrittää laittaa URL-osoitteen ?search=..

2.DOM XSS

Tämä tapahtuu silloin, kun sen suorittaminen mahdollistetaan käyttämällä vaarallisia toimintoja JavaScript:ssä, kuten seuraavia toimintoja `eval` tai `innerHtml`. Alla oleva "Live-esimerkki" näyttää DOM XSS -hyökkäyksen, joka perustuu `innerHtml` toiminto.

3. Tallennettu XSS

Tässä tapauksessa haittakoodi kirjoitetaan palvelinpuolelle. Voimme esimerkiksi lähettää haitallista koodia sisältävän kommentin blogikirjoitukseen, joka ladataan palvelimelle. Sen tehtävänä on esimerkiksi odottaa ylläpitäjän moderointia ja sitten varastaa hänen istuntotietonsa jne.

Injektiomenetelmät

1. Tagin sisällössä

`onerror=alert('XSS')`osoitteeseen

<img src onerror="alert('XSS')" />

2. Määritteen sisällössä

`" onmouseover=alert('XSS')`` osoitteeseen

<div class="" onmouseover="alert('XSS')""></div>

  1. Määritteen sisällössä ilman lainausmerkkejä

x onclick=alert('XSS')osoitteeseen

<div class="x" onclick="alert('XSS')"></div>

  1. Vuonna hrefef-ominaisuus

javascript:alert('XSS') osoitteeseen

<a href="javascript:alert('XSS')"></a>

  1. JavaScript-koodin sisällä olevassa merkkijonossa

";alert('XSS')// osoitteeseen

<script>let username="";alert('XSS')//";</script>
  1. JavaScript-tapahtuman sisältämässä attribuutissa.

');alert('XSS')// jossa ' on yksittäinen lainausmerkki, ja

<div onclick="change('&#39;);alert('XSS')//')">John</div>

  1. Vuonna href attribuutti JavaScript-protokollan sisällä

);alert(1)// jossa %27 on yksittäinen lainausmerkki, ja

<a href="javascript:change('%27);alert(1)//')">klikkaa</a>


Live-esimerkki

Puolustusmenetelmät

  1. Tiedon koodaus käyttämällä sisäänrakennettuja toimintoja, jotka löytyvät monista ohjelmointikielet.
  2. Mallijärjestelmien käyttö automaattisen koodauksen kanssa. Useimmat tällaisia järjestelmiä käyttävät suositut kehykset suojaavat us XSS-injektiolta (Django, Mallit, Vue, React jne.).
  3. Älä käytä funktioita kuten eval tai Toiminto epäluotettavien käyttäjätietojen kanssa.
  4. Älä käytä funktioita ja ominaisuuksia, jotka osoittavat HTML-koodia suoraan DOM-puun elementteihin, esim, innerHTML, outerHTML, insertAdjacentHTML, ocument.write. Sen sijaan voit käyttää funktioita, jotka kohdistavat tekstiä suoraan näihin elementteihin, kuten esimerkiksi funktio textContent tai innerText.
  5. Ole varovainen, kun ohjaat käyttäjän URL-osoitteeseen, joka on hänen hallinnassaan. Injektioriski location = 'javascript('XSS')'.
  6. Suodata HTML:ää käyttämällä kirjastoja, kuten DOMPurify.
  7. Ole varovainen lataamisen suhteen .html tai .svg tiedostot. Voit luoda erillisen verkkotunnuksen, josta ladatut tiedostot toimitetaan.
  8. Käytä Content-Security-Policy mekanismi.
  9. Tutustu useimpiin suosittuihin selaimiin rakennettuihin XSS-suodattimiin.

    Jos tämä artikkeli kiinnostaa sinua, seuraa Lukaszia Githubissa: https://github.com/twistezo

Lue lisää:

Tiedonhakustrategiat NextJS:ssä

Rails API ja CORS. Ripaus tietoisuutta

Miksi sinun pitäisi (luultavasti) käyttää Typescriptiä?

fiFinnish
en_USEnglish de_DEGerman sv_SESwedish da_DKDanish nb_NONorwegian fr_FRFrench pl_PLPolish arArabic it_ITItalian es_ESSpanish nl_NLDutch etEstonian elGreek pt_PTPortuguese cs_CZCzech lvLatvian lt_LTLithuanian is_ISIcelandic fiFinnish