Межсайтовый скриптинг XSS - новости, статьи и документы.

15.06.2022

На хакерских форумах продается «умный» загрузчик вредоносного ПО PureCrypter

Хакеры используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT, LokiBot, NanoCore и пр.

06.06.2022

Исследователь опубликовал новый метод обхода CSP с помощью WordPress

Изящная атака сводит на нет создание безопасного CSP, если сайт использует WordPress.

01.06.2022

Шесть типов атак на Linux-устройства, о которых организациям следует знать

Специалисты фиксируют рост числа кибератак на Linux-устройства.

25.05.2022

Уязвимость в Screencastify позволяла сайтам шпионить за пользователями через камеры

Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.

04.02.2022

Хакеры шпионят за пользователями Zimbra через уязвимость 0-day

За атаками может стоять группировка TEMP_HERETIC, чьей целью являются правительственные и медийные организации в Европе.

10.12.2021

Тысячи устройств MikroTik используются операторами ботнетов в ходе атак

Устройства MikroTik активно используются для проведения DDoS-атак, командного управления, туннелирования трафика и пр.

03.11.2021

Атака Trojan Source опасна для компиляторов большинства языков программирования

Ученые из Кембриджского университета, Росс Андерсон и Николас Баучер, опубликовали информацию о концепте атаки Trojan Source (CVE-2021-42574), которую можно использовать для внедрения вредоносного кода.

Что такое межсайтовый скриптинг (XSS)?

Межсайтовый скриптинг (Cross-Site Scripting, XSS) - это вид атаки на веб-приложения, при которой злоумышленник внедряет вредоносный скрипт (обычно JavaScript) в веб-страницы, которые затем выполняются у пользователя, когда он посещает сайт. Внедренный злоумышленником скрипт выполняется в контексте домена жертвы, что дает злоумышленнику возможность кражи данных пользователя, изменения содержимого страницы, перенаправления на другие сайты и даже управления аккаунтом пользователя.

Типы межсайтового скриптинга:

Хранимый (Persistent) XSS: Злоумышленник внедряет вредоносный скрипт непосредственно на сервере, например, в базу данных или файловую систему веб-приложения. Когда пользователь запрашивает страницу с данными, скрипт выполняется и наносит вред.

Рефлектируемый (Reflected) XSS: В этом случае злоумышленник внедряет вредоносный скрипт в URL-параметры или другие данные, которые передаются на сервер. Сервер обрабатывает запрос и возвращает вредоносный скрипт в ответ, который затем выполняется у пользователя.

DOM-основанный (DOM-based) XSS: В этой разновидности атаки вредоносный скрипт изменяет DOM (объектную модель документа) веб-страницы, что может привести к краже данных пользователя или другим нежелательным последствиям.

Предотвращение межсайтового скриптинга:

Экранирование данных: Всегда экранируйте (экранируйте или эскейпируйте) вводимые пользователем данные и данные из ненадежных источников, прежде чем отображать их на странице.

HTTP заголовки: Используйте соответствующие HTTP заголовки, такие как "Content Security Policy" (CSP) и "HttpOnly" для куки, чтобы ограничить возможности выполнения скриптов.

Валидация данных: Применяйте строгую валидацию данных на стороне сервера, чтобы предотвратить внедрение вредоносного кода.

Использование белых списков: Разработайте систему белых списков для разрешения только определенных тегов и атрибутов, которые не представляют угрозы безопасности.