Межсайтовый скриптинг XSS - новости, статьи и документы.

15.06.2022

На хакерских форумах продается «умный» загрузчик вредоносного ПО PureCrypter

Хакеры используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT, LokiBot, NanoCore и пр.

06.06.2022

Исследователь опубликовал новый метод обхода CSP с помощью WordPress

Изящная атака сводит на нет создание безопасного CSP, если сайт использует WordPress.

01.06.2022

Шесть типов атак на Linux-устройства, о которых организациям следует знать

Специалисты фиксируют рост числа кибератак на Linux-устройства.

25.05.2022

Уязвимость в Screencastify позволяла сайтам шпионить за пользователями через камеры

Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.

04.02.2022

Хакеры шпионят за пользователями Zimbra через уязвимость 0-day

За атаками может стоять группировка TEMP_HERETIC, чьей целью являются правительственные и медийные организации в Европе.

Что такое межсайтовый скриптинг (XSS)?

Межсайтовый скриптинг (Cross-Site Scripting, XSS) - это вид атаки на веб-приложения, при которой злоумышленник внедряет вредоносный скрипт (обычно JavaScript) в веб-страницы, которые затем выполняются у пользователя, когда он посещает сайт. Внедренный злоумышленником скрипт выполняется в контексте домена жертвы, что дает злоумышленнику возможность кражи данных пользователя, изменения содержимого страницы, перенаправления на другие сайты и даже управления аккаунтом пользователя.

Типы межсайтового скриптинга:

Хранимый (Persistent) XSS: Злоумышленник внедряет вредоносный скрипт непосредственно на сервере, например, в базу данных или файловую систему веб-приложения. Когда пользователь запрашивает страницу с данными, скрипт выполняется и наносит вред.

Рефлектируемый (Reflected) XSS: В этом случае злоумышленник внедряет вредоносный скрипт в URL-параметры или другие данные, которые передаются на сервер. Сервер обрабатывает запрос и возвращает вредоносный скрипт в ответ, который затем выполняется у пользователя.

DOM-основанный (DOM-based) XSS: В этой разновидности атаки вредоносный скрипт изменяет DOM (объектную модель документа) веб-страницы, что может привести к краже данных пользователя или другим нежелательным последствиям.

Предотвращение межсайтового скриптинга:

Экранирование данных: Всегда экранируйте (экранируйте или эскейпируйте) вводимые пользователем данные и данные из ненадежных источников, прежде чем отображать их на странице.

HTTP заголовки: Используйте соответствующие HTTP заголовки, такие как "Content Security Policy" (CSP) и "HttpOnly" для куки, чтобы ограничить возможности выполнения скриптов.

Валидация данных: Применяйте строгую валидацию данных на стороне сервера, чтобы предотвратить внедрение вредоносного кода.

Использование белых списков: Разработайте систему белых списков для разрешения только определенных тегов и атрибутов, которые не представляют угрозы безопасности.

Теги

Многофакторная аутентификация Целевые атаки Хакерские группировки Госсопка ФСТЭК Форензика Фишинг Утечка данных, информации Управление событиями ИБ Удаленный доступ Трояны Таргетированные атаки Спам СКУД Межсайтовый скриптинг XSS Сканирование уязвимостей Практика ИБ Карты, средства оплаты Пентест Обнаружение уязвимостей Облачные технологии Киберугрозы Кибербезопасность Кибератаки Искусственный интеллект (ИИ) Интернет вещей (IoT) Импортозамещение Защита серверов Защита почты Защита телефонов, мобильных устройств Защита ИТ-инфраструктуры Защита информации, данных Приложения, защита Вредоносные программы Восстановление данных Браузеры Блокчейн Безопасность ритейла Безопасность банков Аудит информационной безопасности Атаки ИБ Антифрод Антивирус Анализ безопасности SQL-инъекции Firewall (файервол) DDoS 152-ФЗ Криптовалюты Хакеры Документы и законы ИБ Угрозы информационной безопасности Вирусы Персональные данные Информационная безопасность Уязвимости ИБ