Речь пойдет о распространенных на сегодняшний день типах атак, при которых на страницу ресурса, в приложение подсаживается вирусный код. Пользователь заходит на зараженную страничку, в этот момент внедренный элемент начинает взаимодействовать с сервером своего хозяина. В результате могут быть украдены хранящиеся в браузере данные, в том числе пароли.
Что такое XSS-атака и как она осуществляется
Cross Site Scripting – инструмент, с помощью которого в структуру веб-страницы вводятся элементы вредоносного HTML, JavaScript кода. Когда они активизируются на ПК пользователя, то на экране появляется окно с ссылкой, которая ведет на фейковый сайт, очень похожий на настоящий. Такой переход позволяет злоумышленникам с помощью скриптов похитить все чувствительные данные, хранящиеся в браузере.
Недобросовестные пользователи интернета добывают нужную информацию разными способами, но особенно популярны 2 варианта.
Отраженные (Reflected XSS)
Смысл атаки заключается в сокрытии вирусного кода в загодя созданной ссылке, которая может находиться в рассылке по email, размещена на странице сайта. Когда потенциальная жертва кликает по такому линку, скрипты сервера исполняют его команду без обработки и возвращают обратно. Пользовательский браузер выполняет отраженный «ответ», а инициатор всей этой процедуры получает полезные для него cookies обманутого пользователя.
Хранимые (Persistent XSS)
Уязвимости такого рода имеют место в том случае, если мошенник получает доступ к ресурсу и сохраняет там вредный скрипт. Этот элемент будет проявлять активность, как только пользователь посетит «больную» страницу. Такого рода «подарки» чаще всего встречаются в социальных сетях, на форумах, в блогах. Код маскируется под комментарий, гифку, прячется в теле обыкновенного на первый взгляд текста. В итоге, зараженный ресурс будет автоматически отсылать взломщику данные людей, проходящих авторизацию.
Как не стать жертвой XSS-атаки
Специалисты дают несколько советов, как обезопасить себя от XSS-неприятностей:
- Не надо хранить в браузере пароли, использование которых посторонними лицами может вам навредить;
- Данные касательно банковской, платежной систем, аккаунтов важных для вас социальных сетей рекомендуется держать вообще отдельно;
- Не терять бдительности при посещении веб-страниц, где наблюдается странная активность, например часто всплывающие окна со ссылками.
Какие шаги предпринять владельцам сайтов для обеспечения защиты от XSS-атак
Для начала рекомендуется включить заголовок X-XSS-Protection в качестве фильтра XSS. Его активация сделает невозможным выполнение <script> в адресе ресурса.
Для включения фильтрации открывается файл .htaccess, добавляются следующие записи:
<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
add_header X-XSS-Protection "1; mode=block";
Как обезопасить себя от XSS-атак
Существует ряд правил, которых следует придерживаться, чтобы уменьшить риск стать жертвой злоумышленника:
- Не реже 1 раза в месяц мониторьте свой ресурс на наличие слабых мест, с помощью которых может быть успешна XSS-атака. Выявленные уязвимости необходимо сразу устранять.
- Следите за обновлениями ПО, своевременно их делайте – это не только получение нового функционала, но и устранение брешей в системе безопасности.
- Для защиты онлайн-проекта, информации о пользователях применяйте SSl-шифрование.
- Используйте межсетевой экран, фаервол, он может активизироваться посредством специальных плагинов.
Заключение
К сожалению, панацеи от XSS-атак еще не придумали. На изобретательность разработчиков – защитников добропорядочных пользователей, скорым ответом бывает изощренность интернет-мошенников. Однако, быть бдительным, следить за новинками в области безопасности заметно снизит риск чужого вмешательства.
«Макхост» — премиальный хостинг для проектов любой сложности. Поддержка работает 24/7. Перенесем ваши проекты от другого хостинг-провайдера бесплатно. 🎁
