Puolimo scenarijus

1. Užpuolikas randa XSS pažeidžiamumą aukos naudojamoje svetainėje, pvz., banko svetainėje.
2. Šiuo metu auka yra prisijungusi prie šio puslapio
3. Užpuolikas siunčia aukai suklastotą URL adresą.
4. auka spusteli URL adresą
5. Dėl aukos bankas interneto svetainėje, JavaScript kodas pradedamas vykdyti, kad perimtų naudotojo duomenys arba jo vardu atlikti pervedimą į užpuoliko sąskaitą.

Verta pažymėti, kad aukos vardu atliekamos operacijos aukai gali būti nematomos, nes jos gali būti atliekamos fone, naudojant banko API, arba užpuolikas gali juos atlikti vėliau, naudodamas autentifikavimui reikalingus duomenis, žetonus, slapukus ir pan.

XSS tipai

1. Atspindėtas XSS

Tai toks atvejis, kai atsakyme rodomas HTML/JavaScript kodas, esantis bet kuriame parametre (pvz., GET, POST arba slapukas).

Puslapis su teksto įvestimi, kurioje ieškoma kažko, kas pateikia parametrą ?search=foo URL pabaigoje, kai užklausiama API. Įvedus bet kurią frazę, jei ji nerandama, HTML formatu pateikiamas grįžtamasis pranešimas ex.

<div>Nerastas joks rezultatas <b>foo</b></div>

Galime pabandyti įrašyti URL adresą ?search=..

2.DOM XSS

Taip yra tada, kai jos vykdymas įjungiamas naudojant pavojingas JavaScript funkcijas, pvz. `eval` arba `innerHtml`. Toliau pateiktame “Tiesioginiame pavyzdyje” rodoma DOM XSS ataka, pagrįsta `innerHtml` funkcija.

3. Saugomas XSS

Tai vienas iš atvejų, kai kenkėjiškas kodas rašomas serverio pusėje. Pavyzdžiui, į tinklaraščio įrašą, kuris įkeliamas į serverį, galime nusiųsti komentarą su kenkėjišku kodu. Jo užduotis, pavyzdžiui, laukti, kol administratorius atliks moderavimą, o tada pavogti jo sesijos duomenis ir pan.

Injekcijos metodai

1. Žymos turinys

`onerror=įspėjimas('XSS')`į

<img src onerror="alert('XSS')" />

2. Atributo turinys

`" onmouseover=įspėjimas('XSS')` į

<div class="" onmouseover="alert('XSS')""></div>

3. Atributo turinyje be kabučių

x onclick=įspėjimas('XSS')į

<div class="x" onclick="alert('XSS')"></div>

4. Į hrefef požymis

javascript:alert('XSS') į

<a href="javascript:alert('XSS')"></a>

5. JavaScript kodo viduje esančioje eilutėje

";alert('XSS')// į

<script>let username="";alert('XSS')//";</script>

6. Atributas su JavaScript įvykiu

');alert('XSS')// kur ' yra viena kabliataškė, į

<div onclick="change('&#39;);alert('XSS')//')">John</div>

7. Į href atributas JavaScript protokole

);alert(1)// kur %27 yra viena kabliataškė, į

<a href="javascript:change('%27);alert(1)//')">spustelėkite</a>

Tiesioginis pavyzdys

Gynybos metodai

1. Duomenų kodavimas naudojant integruotas funkcijas, esančias daugelyje programavimo kalbos.
2. Naudojant šablonų sistemas su automatiniu kodavimu. Dauguma populiarių karkasų, naudojančių tokias sistemas, apsaugo mus nuo XSS injekcijos (Django, Šablonai, Vue, React ir t. t.).
3. Nenaudokite tokių funkcijų kaip eval arba Funkcija su nepatikimais naudotojo duomenimis.
4. Nenaudokite funkcijų ir savybių, kurios HTML kodą tiesiogiai priskiria DOM medžio elementams, pvz, innerHTML, outerHTML, insertAdjacentHTML, ocument.write. Vietoj to galite naudoti funkcijas, kurios tiesiogiai priskiria tekstą šiems elementams, pvz. textContent arba innerText.
5. Būkite atsargūs nukreipdami naudotoją į jo valdomą URL adresą. Injekcijos rizika vieta = 'javascript('XSS')'.
6. HTML filtravimas naudojant bibliotekas, pvz. DOMPurify.
7. Būkite atsargūs dėl įkėlimo .html arba .svg failai. Galite sukurti atskirą domeną, iš kurio bus aptarnaujami įkelti failai.
8. Naudokite Turinio saugumo politika mechanizmas.
9. Pažvelkite į daugumoje populiariausių naršyklių įdiegtus anti-XSS filtrus.

   Jei šis straipsnis jums įdomus, sekite Lukaszą "Github" svetainėje: https://github.com/twistezo

Skaityti daugiau:

Duomenų gavimo strategijos "NextJS

Rails API ir CORS. Sąmoningumo brūkšnelis

Kodėl turėtumėte (tikriausiai) naudoti Typescript?