{"id":3810,"date":"2020-10-14T11:25:00","date_gmt":"2020-10-14T11:25:00","guid":{"rendered":"http:\/\/the-codest.localhost\/blog\/web-app-security-xss-vulnerability\/"},"modified":"2026-04-27T10:24:05","modified_gmt":"2026-04-27T10:24:05","slug":"web-sovelluksen-turvallisuus-xss-haavoittuvuus","status":"publish","type":"post","link":"https:\/\/thecodest.co\/fi\/blog\/web-app-security-xss-vulnerability\/","title":{"rendered":"Web-sovelluksen turvallisuus - XSS-haavoittuvuus"},"content":{"rendered":"

Hy\u00f6kk\u00e4ysskenaario<\/h2>\n\n\n\n
    \n
  1. Hy\u00f6kk\u00e4\u00e4j\u00e4 l\u00f6yt\u00e4\u00e4 XSS-haavoittuvuuden uhrin k\u00e4ytt\u00e4m\u00e4lt\u00e4 verkkosivustolta, esimerkiksi pankin verkkosivustolta.<\/li>\n\n\n\n
  2. Uhri on t\u00e4ll\u00e4 hetkell\u00e4 kirjautuneena t\u00e4lle sivulle.<\/li>\n\n\n\n
  3. Hy\u00f6kk\u00e4\u00e4j\u00e4 l\u00e4hett\u00e4\u00e4 uhrille v\u00e4\u00e4rennetyn URL-osoitteen.<\/li>\n\n\n\n
  4. Uhri napsauttaa URL-osoitetta<\/li>\n\n\n\n
  5. Uhrin pankki<\/a> verkkosivusto, JavaScript<\/a> koodi<\/a> alkaa suorittaa siepatakseen k\u00e4ytt\u00e4j\u00e4n tekem\u00e4n tiedot<\/a> tai tehd\u00e4 h\u00e4nen puolestaan siirto hy\u00f6kk\u00e4\u00e4j\u00e4n tilille.<\/li>\n<\/ol>\n\n\n\n

    On syyt\u00e4 huomata, ett\u00e4 uhrin puolesta suoritettavat operaatiot voivat olla uhrille n\u00e4kym\u00e4tt\u00f6mi\u00e4, sill\u00e4 ne voivat tapahtua taustalla pankin pankkitunnuksilla. API<\/a>, tai hy\u00f6kk\u00e4\u00e4j\u00e4 voi suorittaa ne my\u00f6hemmin tunnistautumiseen tarvittavien tietojen, tunnisteiden, ev\u00e4steiden jne. avulla.<\/p>\n\n\n\n

    XSS-tyypit<\/h2>\n\n\n\n

    1. Heijastettu XSS <\/h3>\n\n\n\n

    T\u00e4m\u00e4 on sellainen, jossa mink\u00e4 tahansa parametrin (esim. GET, POST tai ev\u00e4ste) sis\u00e4lt\u00e4m\u00e4 HTML\/JavaScript-koodi n\u00e4ytet\u00e4\u00e4n vastauksena.<\/p>\n\n\n\n

    Sivu, jossa on tekstinsy\u00f6tt\u00f6, jolla haetaan jotain, joka asettaa parametrin ?search=foo<\/code> URL-osoitteen lopussa, kun API:ta kysyt\u00e4\u00e4n. Jos jotain lausetta ei l\u00f6ydy, sen sy\u00f6tt\u00e4misen j\u00e4lkeen annetaan palautusviesti HTML ex.<\/p>\n\n\n\n

    <div>Ei löytynyt tulosta <b>foo<\/b><\/div><\/code><\/pre>\n\n\n\n
    Voimme yritt\u00e4\u00e4 laittaa URL-osoitteen ?search=<\/code>..<\/p>\n\n\n\n
    2.DOM XSS <\/h3>\n\n\n\n
    T\u00e4m\u00e4 tapahtuu silloin, kun sen suorittaminen mahdollistetaan k\u00e4ytt\u00e4m\u00e4ll\u00e4 vaarallisia toimintoja JavaScript:ss\u00e4, kuten seuraavia toimintoja `eval`<\/code> tai `innerHtml`<\/code>. Alla oleva \"Live-esimerkki\" n\u00e4ytt\u00e4\u00e4 DOM XSS -hy\u00f6kk\u00e4yksen, joka perustuu `innerHtml`<\/code> toiminto.<\/p>\n\n\n\n
    3. Tallennettu XSS <\/h3>\n\n\n\n
    T\u00e4ss\u00e4 tapauksessa haittakoodi kirjoitetaan palvelinpuolelle. Voimme esimerkiksi l\u00e4hett\u00e4\u00e4 haitallista koodia sis\u00e4lt\u00e4v\u00e4n kommentin blogikirjoitukseen, joka ladataan palvelimelle. Sen teht\u00e4v\u00e4n\u00e4 on esimerkiksi odottaa yll\u00e4pit\u00e4j\u00e4n moderointia ja sitten varastaa h\u00e4nen istuntotietonsa jne.<\/p>\n\n\n\n
    Injektiomenetelm\u00e4t<\/h2>\n\n\n\n
    1. Tagin sis\u00e4ll\u00f6ss\u00e4<\/p>\n\n\n\n
    `onerror=alert('XSS')`<\/code>osoitteeseen<\/p>\n\n\n\n
    <img src onerror="alert('XSS')" \/><\/code><\/pre>\n\n\n\n
    2. M\u00e4\u00e4ritteen sis\u00e4ll\u00f6ss\u00e4<\/p>\n\n\n\n
    `\" onmouseover=alert('XSS')``<\/code> osoitteeseen<\/p>\n\n\n\n
    <div class="" onmouseover="alert('XSS')""><\/div><\/code><\/pre>\n\n\n\n
    <\/p>\n\n\n\n
      \n
    1. M\u00e4\u00e4ritteen sis\u00e4ll\u00f6ss\u00e4 ilman lainausmerkkej\u00e4<\/li>\n<\/ol>\n\n\n\n
      x onclick=alert('XSS')<\/code>osoitteeseen<\/p>\n\n\n\n
      <div class="x" onclick="alert('XSS')"><\/div><\/code><\/pre>\n\n\n\n
      <\/p>\n\n\n\n
        \n
      1. Vuonna href<\/code>ef-ominaisuus<\/li>\n<\/ol>\n\n\n\n
        javascript:alert('XSS')<\/code> osoitteeseen<\/p>\n\n\n\n
        <a href="javascript:alert('XSS')"><\/a><\/code><\/pre>\n\n\n\n
        <\/p>\n\n\n\n
          \n
        1. JavaScript-koodin sis\u00e4ll\u00e4 olevassa merkkijonossa<\/li>\n<\/ol>\n\n\n\n
          \";alert('XSS')\/\/<\/code> osoitteeseen<\/p>\n\n\n\n
          <script>let username=\"\";alert('XSS')\/\/\";<\/script><\/code><\/pre>\n\n\n\n
            \n
          1. JavaScript-tapahtuman sis\u00e4lt\u00e4m\u00e4ss\u00e4 attribuutissa.<\/li>\n<\/ol>\n\n\n\n
            ');alert('XSS')\/\/<\/code> jossa '<\/code> on yksitt\u00e4inen lainausmerkki, ja<\/p>\n\n\n\n
            <div onclick="change('&#39;);alert('XSS')\/\/')">John<\/div><\/code><\/pre>\n\n\n\n
            <\/p>\n\n\n\n
              \n
            1. Vuonna href<\/code> attribuutti JavaScript-protokollan sis\u00e4ll\u00e4<\/li>\n<\/ol>\n\n\n\n
              );alert(1)\/\/<\/code> jossa %27<\/code> on yksitt\u00e4inen lainausmerkki, ja<\/p>\n\n\n\n
              <a href="javascript:change('%27);alert(1)\/\/')">klikkaa<\/a><\/code><\/pre>\n\n\n\n

               <\/code><\/p>\n\n\n\n
              Live-esimerkki<\/h3>\n\n\n\n
              \n