Найти в Дзене
Лаборатория сисадмина
7448 подписчиков

XSS в Дзене?

35
1 мин
Сегодня ночью обнаружил неприятность в личном кабинете Дзена. Заметил попытку внедрения скрипта на страницу. На страничке отображалась картинка с неверным адресом и кодом: <img src=x onerror=alert(document.cookie)> Это типичный пример попытки XSS (Cross-Site Scripting) атаки. XSS (Cross-Site Scripting — межсайтовый скриптинг) — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Точнее даже Stored XSS, — когда вредоносный скрипт сохраняется непосредственно на сервере или в базе данных веб-приложения и может распространяться среди множества пользователей. Механизм атаки Когда браузер пытается загрузить несуществующее изображение x, возникает ошибка. Срабатывает атрибут onerror, который исполняет JavaScript-код. Если сайт не имеет защиты от XSS, злоумышленник может украсть куки сессии и, как след

Сегодня ночью обнаружил неприятность в личном кабинете Дзена. Заметил попытку внедрения скрипта на страницу. На страничке отображалась картинка с неверным адресом и кодом:

<img src=x onerror=alert(document.cookie)>

Это типичный пример попытки XSS (Cross-Site Scripting) атаки.

  • <img src=x> — стандартный HTML-тег изображения с некорректным источником x
  • onerror= — обработчик события, который срабатывает при ошибке загрузки изображения
  • alert(document.cookie) — JavaScript-код, который пытается получить доступ к кукам пользователя
XSS (Cross-Site Scripting — межсайтовый скриптинг) — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Точнее даже Stored XSS, — когда вредоносный скрипт сохраняется непосредственно на сервере или в базе данных веб-приложения и может распространяться среди множества пользователей.

Механизм атаки

Когда браузер пытается загрузить несуществующее изображение x, возникает ошибка. Срабатывает атрибут onerror, который исполняет JavaScript-код. Если сайт не имеет защиты от XSS, злоумышленник может украсть куки сессии и, как следствие, получить доступ к личным кабинетам пользователей, у которых в браузере выполнился такой скрипт.

-2

Незамедлительно в службу поддержки Дзен было отправлено уведомление. Утром пришёл ответ.

-3

К счастью, код на странице не сработал, по крайней мере у меня. К тому же сам код не содержал каких-то опасных вещей. Да и отображался открыто. Однако, сам факт внедрения на сайт Дзена такого блока неприятен.

Шалость не удалась?

Причин появления такого элемента на странице нам никто не раскроет, это мог быть и акт некоторого тестирования на проде (тоже некрасиво да и зачем трогать куки?), шалость, легитимная или не очень легитимная попытка обнаружения уязвимостей или действительно тестирование найденной злоумышленниками бреши.

Источник:

internet-lab.ru
XSS в Дзене? | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу. Пишите комментарии, задавайте вопросы, подписывайтесь.

7