Web lietojumprogrammu drošība - XSS ievainojamība

Uzbrukuma scenārijs

1. Uzbrucējs atrod XSS ievainojamību upura izmantotajā tīmekļa vietnē, piemēram, bankas tīmekļa vietnē.
2. Cietušais pašlaik ir pieteicies šajā lapā.
3. Uzbrucējs nosūta upurim viltotu URL adresi.
4. Upuris noklikšķina uz URL
5. Par cietušā banka tīmekļa vietne, JavaScript kods sāk izpildīt, lai pārtvertu lietotāja dati vai veikt pārskaitījumu uzbrucēja vārdā uz uzbrucēja kontu.

Jāatzīmē, ka cietušā vārdā veiktās operācijas var būt cietušajam neredzamas, jo tās var notikt fonā, izmantojot bankas API, vai uzbrucējs tos var veikt vēlāk, izmantojot autentifikācijai nepieciešamos datus, žetonus, sīkfailus utt.

XSS veidi

1. Atspoguļots XSS

Atbildē tiek parādīts HTML/JavaScript kods, kas ietverts jebkurā parametrā (piemēram, GET, POST vai sīkfailā).

Lapa ar teksta ievadi, lai meklētu kaut ko, kas liek parametru ?search=foo URL galotnē, kad tiek veikta API vaicāšana. Pēc jebkuras frāzes ievadīšanas, ja tā nav atrasta, HTML formātā tiek ievietots atgriešanas ziņojums ex.

<div>Nav atrasts neviens rezultāts <b>foo</b></div>

Mēs varam mēģināt ievietot URL ?search=..

2.DOM XSS

Tas ir tad, ja tās izpilde ir iespējota, izmantojot bīstamas JavaScript funkcijas, piemēram. `eval` vai `innerHtml`. Tālāk dotajā “Tiešraides piemērā” ir parādīts DOM XSS uzbrukums, kura pamatā ir `innerHtml` funkcija.

3. Saglabāts XSS

Šajā gadījumā ļaunprātīgs kods tiek rakstīts servera pusē. Piemēram, mēs varam nosūtīt komentāru ar ļaunprātīgu kodu bloga ierakstam, kas ir augšupielādēts serverī. Tā uzdevums ir, piemēram, sagaidīt administratora moderēšanu un pēc tam nozagt viņa sesijas datus utt.

Injekcijas metodes

1. Birkas saturā

`onerror = brīdinājums('XSS')`uz

<img src onerror="alert('XSS')" />

2. Atribūta saturā

`" onmouseover=alert('XSS')` uz

<div class="" onmouseover="alert('XSS')""></div>

3. Atribūta saturā bez pēdiņām

x onclick = brīdinājums('XSS')uz

<div class="x" onclick="alert('XSS')"></div>

4. In the hrefef atribūts

javascript:alert('XSS') uz

<a href="javascript:alert('XSS')"></a>

5. JavaScript koda iekšpusē esošajā rindā

";alert('XSS')// uz

<script>let username="";alert('XSS')//";</script>

6. Atribūtā ar JavaScript notikumu

');alert('XSS')// kur ' ir viena pēdiņa, uz

<div onclick="change('&#39;);alert('XSS')//')">Džons</div>

7. In the href atribūts JavaScript protokolā

);alert(1)// kur %27 ir viena pēdiņa, uz

<a href="javascript:change('%27);alert(1)//')">noklikšķiniet uz</a>




Tiešraides piemērs

Aizsardzības metodes

1. Datu kodēšana, izmantojot iebūvētās funkcijas, kas atrodamas daudzos programmēšanas valodas.
2. Šablonu sistēmu izmantošana ar automātisko kodēšanu. Lielākā daļa populāro karkasu, kas izmanto šādas sistēmas, aizsargā mums no XSS injekcijas (Django, veidnes, Vue, React utt.).
3. Neizmantojiet tādas funkcijas kā eval vai Funkcija ar neuzticamiem lietotāja datiem.
4. Neizmantojiet funkcijas un īpašības, kas DOM koka elementiem tieši piešķir HTML kodu, piemēram, innerHTML, outerHTML, insertAdjacentHTML, ocument.write. Tā vietā varat izmantot funkcijas, kas šiem elementiem tieši piešķir tekstu, piemēram. textContent vai innerText.
5. Esiet uzmanīgi, kad pāradresējat lietotāju uz URL, kas ir viņa kontrolē. Injekcijas risks atrašanās vieta = 'javascript('XSS')'.
6. HTML filtrēšana, izmantojot tādas bibliotēkas kā DOMPurify.
7. Esiet uzmanīgi ar augšupielādi .html vai .svg faili. Varat izveidot atsevišķu domēnu, no kura tiks apkalpoti augšupielādētie faili.
8. Izmantojiet Satura drošības politika mehānisms.
9. Aplūkojiet populārākajās pārlūkprogrammās iebūvētos anti-XSS filtrus.

   Ja šis raksts jums šķiet interesants, sekojiet Lukāšam Github vietnē: https://github.com/twistezo

Lasīt vairāk:

Datu iegūšanas stratēģijas NextJS

Rails API un CORS. Apziņas piesitiens

Kāpēc jums (iespējams) vajadzētu izmantot Typescript?