продажа
любого лицензионного программного обеспечения
и компьютерного оборудования
  +7 727 2377755
+7 727 2377754

WhatsApp
+7 777 222 15 22
сервера Dell HP
  Главный офис
Казахстан, г. Алматы,
Бизнес Центр МТС,
ул. Шевченко 165б,
оф. 707
 
25 июля 2008

Agnitum Security Insight
Межсайтовый скриптинг как скрытая Интернет-угроза

В сфере компьютерной безопасности часто возникают такие моменты, когда пользователь не может самостоятельно позаботиться о своей защите. К ним можно отнести такие угрозы, которые представляют собой всевозможные уязвимости программного обеспечения, а также ошибки в работе DNS-серверов, в результате которых невинная жертва либо атакуется через порты, открытые уязвимой программой, либо попадает на захваченные сайты, распространяющие различные эксплойты и крадущие данные пользователя посредством фишинговых схем.

От подобных видов угроз едва ли существует защита со стороны самого пользователя – чтобы бороться с ними, нужен вклад других лиц и организаций – разработчиков ПО, которые должны не допускать критических ошибок, влияющие на безопасность системы, а также регулирующих органов, которые обязаны создавать менее уязвимую к подобным инцидентам Интернет-инфраструктуру. По крайней мере, все участники должны обеспечивать максимально быструю возможность устранения проблем безопасности.

Такой же принцип относится и к атакам посредством межсайтового скриптинга – компрометация пользовательских данных не может быть предотвращена действиями одного лишь этого пользователя, а должна находиться в юрисдикции разработчиков веб-приложений и Интернет-браузеров.

По причине недостижимости такой защиты в настоящий момент, пользователю стоит обратить пристальное внимание на влияние уязвимостей межсайтового скриптинга и постараться минимизировать их влияние в определенных ситуациях. Эта задача и есть главным направлением данной статьи.

Что такое межсайтовый скриптинг
Скрипт – это набор команд, написанных на языке программирования, который исполняется на стороне пользователя или удаленном веб сервере. Уязвимости межсайтового скриптинга, или XSS (от англ. Сross Site Sсriрting) возникают в тех случаях, когда скрипт (обычно зловредный), находящийся на одном сайте, получает возможность взаимодействия с содержимым, размещенным на другом сайте или локальной HTML-странице, отсюда и термин – «межсайтовый». В отличие от других типов атак, злоумышленники используют сервера, уязвимые к XSS, как посредника для осуществления атак на посетителей пораженных сайтов, заставляя браузеры будущих жертв исполнять скрипты, заранее помещенные на них злоумышленниками.

Первые упоминания об уязвимостях XSS начали появляться в начале 21 века, когда некоторые эксперты безопасности отмечали свою обеспокоенность возможным использованием кода JavaScript со злонамеренными целями при атаке смежных серверов.

При XSS атаке, после того как зловредный скрипт был запущен на стороне пользователя, он начинает работать и посылать команды на удаленный ресурс, контролируя окно браузера таким образом, что со стороны кажется, что сам пользователь управляет окном и осуществляет спланированные действия. Скрипт может быть запущен локально на пользовательском компьютере, либо находиться в неактивном состоянии на веб-сервере до тех пор, пока пользователи не начнут обращаться к пораженной веб-странице. Как только они это сделают, скрипт активируется на машине пользователя и начнет совершать враждебные действия.

Проблема XSS настолько значима по причине того, что в результате успешной эксплуатации скрипт забирает управление пользовательской сессией на себя, в то время как атака остается невидимой и проходит «в тени», не оставляя следов и делая такой вид вторжений крайне сложным для выявления.

Для успешного проведения XSS атаки требуется соответствие нескольким критериям: использование слабо защищенного браузера, который не сопоставляет происхождение скрипта с его полномочиями, а также неряшливо написанный веб-код, который осуществляет недостаточную проверку вводимых пользователем данных. Чтобы заставить потенциальную жертву перейти по ссылке, содержащей зловредный код, часто используются приемы социального инжиниринга.

Для того чтобы лучше представить масштабы проблемы, связанной с эксплуатацией XSS, можно привести несколько говорящих цифр: по разным оценкам, не менее половины всех веб-сайтов имеют дыры для XSS атак, при том как уязвимость XSS-типа составляет по меньшей мере 80 процентов от всех документированных веб-уязвимостей. Почти каждый веб-портал когда-либо в своей истории становился жертвой XSS; и такие гранды, как Google, MSN и Facebook ощутили влияние XSS уязвимостей на своем собственном опыте. Уже спал ажиотаж от обнаружения XSS-уязвимостей сервиса «Одноклассники.ру» в конце 2007 года, а летом 2008 года такие уязвимости обнаружили и проэксплуатировали в сервисах Вконтакте (в июне – в сервисе «Приложения») и BestPersons (атака на сервис доступа к популярным социальным сетям произошла 21 июля).

Виды XSS
На текущий момент различается три вида XSS уязвимостей:
Локальная, или XSS нулевого типа, когда проблема возникает в клиентской части скрипта на веб-странице. Для эксплуатации такой уязвимости, атакующий создает веб-страницу с вредоносным JavaScript-кодом внутри и посылает будущей жертве ссылку на нее (используя разные способы, включая e-mail, чат, форум и т.д.). После того, как пользователь переходит по заданной ссылке, выполняется удаленный скрипт, который создает на компьютере пользователя уязвимую HTML-страницу, содержащую JavaScript-код. Этот код будет выполнятся с правами текущего пользователя (в основном все пользователи зарегистрированы как Администраторы). После проведения всех этих действий, атакующий получает доступ на локальный компьютер жертвы и имеет возможность просматривать файлы и получать другую значимую информацию.
Неустойчивый, или XSS первого типа. Этот вид уязвимости является самым распространенным из трех и затрагивает уязвимости работы серверных скриптов, которые в недостаточной мере проверяют отсылаемую клиентом информацию. XSS первого типа возникают, когда пользователь получает ссылку на зловредный скрипт, будучи уже «залогиненным» на определенный веб-сайт. После того, как ссылка активируется и скрипт запускается, он забирает контроль над текущей веб-сессией на себя и скрытно управляет действиями активной веб-страницы. Такой вид вторжения может иметь место только в текущей пользовательской сессии.
Устойчивый тип, или, XSS второго типа – является самой нарочитой и опасной уязвимостью, поскольку может затронуть сразу большое число пользователей без особого применения приемов социального инжиниринга. Как и во втором случае, уязвимость существует на стороне серверных скриптов, но присутствует на них на протяжении длительного времени, обеспечивая таким образом более мощный поражающий эффект. Уязвимость возникает, когда легитимный сервер содержит на своих ресурсах фрагменты зловредных скриптов, помещенных на него злоумышленником, а потом отдает такие объекты на исполнение клиентским браузерам.

Каковы цели злоумышленников?
Большинство атак c использованием XSS нацелено на сессионные файлы cookies пользователя – файлы, закачиваемые на компьютеры пользователей веб-сайтами, которые они посещают. Cookies – простой механизм идентификации на сайте, так что как только злоумышленникам удается ими завладеть, они могут «притвориться» вами и совершать действия от вашего имени. Cookies передаются атакующим посредством команд, содержащихся внутри зловредного скрипта.

Чего можно лишиться в результате атаки
В результате успешной эксплуатации XSS жертвы могут лишиться важных данных или подвергнуться «краже личности». Как только ваша сессия похищается, «хозяева скрипта» могут вести любую активность, на которую способен истинный хозяин захваченного аккаунта – читать и удалять веб-почту, совершать финансовые и кредитные операции, создавать посты в социальных сетях – все, что угодно.

Причины возникновения XSS-атак
XSS-атаки возможны по двум основным причинам – неряшливое, безответственное написание кода для наспех создаваемых движков сайтов, в результате чего не происходит верификации вводимых посетителями данных. Это позволяет хакеру вставлять фрагменты исполняемого кода в поля (например, в поле поиска содержимого на сайте) – сервер вернет результаты поиска наряду с точным текстом изначального запроса, который может быть интерпретирован клиентским ПО как исполняемый код и выполнен на стороне пользователя. В этой связи очень важно, чтобы создатели веб-страниц разрабатывали их так, чтобы пользовательский ввод фильтровался на предмет присутствия в нем исполняемого кода, а определенные символы, характеризующие исполняемые команды, переводились в текстовой, неисполняемый формат.

Еще один фактор, играющий на руку злоумышленникам – это использование пользователями устаревших версию браузеров, которые некорректно работают с политиками безопасности при парсинге (обработке) скриптов с двух разных источников, не смешивая их.

Как пользователь может защититься
Несмотря на то, что основная вина за ошибки, приводящие к эксплуатации XSS, лежит на веб-программистах, для простого пользователя Интернет все же существуют пути минимизации подверженности XSS.

Основной момент, на который следует обратить внимание, это запрет исполнения браузером программного кода, находящегося на недоверенных источниках. Пользователи Internet Explorer могут заблокировать исполнение скриптов, подняв «ползунок» уровня безопасности в настройках программы до уровня «высокий», запретив таким образом выполнение какого-либо кода. После проведения таких действий большинство веб-страниц будет отображаться неправильно, и чтобы этого избежать, следует в дальнейшем занести доверенные сайты в список исключений, которым все-таки будет дозволено запускать исполняемые скрипты. Пользователи Firefox могут воспользоваться дополнительно подключаемым модулем под названием NoScript, который действует подобно настройкам IE – блокирует любой исполняемый код, при этом разрешая его заданным доверенным сайтам. Полезно также будет поднять уровень защиты личных данных во вкладке «Конфиденциальность» настроек IE , что запретит хранение постоянных cookie-файлов на вашем компьютере.

При посещении сайтов, требующих авторизации (таких, как, скажем, сайт вашего банка, почтовый портал или социальная сеть), не забывайте нажимать кнопку «Выход» и сначала завершите ваш сеанс нахождения на ресурсе, а уже потом путешествуйте по различным ссылкам, присылаемым вам. Выход из текущей сессии очистит временные файлы cookies и сделает заход под вашей учетной записью невозможным.

Также немаловажно, чтобы ваш браузер и операционная система были постоянно обновлены, чтобы известные XSS-атаки на них были безуспешными.

Подводя итоги
XSS-атаки возникают из-за ошибок веб-девелоперов при написании кода страниц – такие страницы не фильтруют вводимые на стороне пользователя данные, в результате чего эти данные могут восприниматься сервером и клиентским ПО как исполняемые. Подобную уязвимость легко предотвратить, если фильтровать потенциально враждебную информацию, которую пользователь отправляет на страницах веб-сайта, и отдавать ответ на запрос в виде простого текста. Пока мы находимся в ожидании чуда, когда все веб-сайты проведут аудит своего кода на предмет выявления и устранения скрытых возможностей эксплуатации XSS, существует несколько несложных приемов, заметно сокращающих подверженность XSS-атакам: выход из текущей сессии перед переходом на другие страницы, отключение исполняемого на стороне браузера JavaScript-кода для неизвестных сайтов, использование последних версий сетевого ПО.

И, конечно же, нельзя пренебрегать общими правилами безопасного поведения в Интернете – не открывать ссылки от незнакомых лиц и не доверять тем, кого вы не знаете.
16 марта 2021
Новая версия Zecurion DLP 11: рисковая модель, интегрированная IRP, учёт рабочего времени и в 2 раза больше данных о сотрудниках
11 февраля 2020
ВЕБИНАР Презентация zecurion dlp 10 Приглашаем Вас на презентацию новой версии Zecurion DLP 10, которая состоится в четверг 13 февраля, в 15:00ч. Участие бесплатное, необходима регистрация
18 сентября 2019
Traffic Inspector Next Generation - новая версия уже в Алматы Компания «Смарт-Софт» сообщает о выходе новой версии универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.  В новом релизе Traffic...
20 июня 2019
Бэкдор Plead маскируется под легитимное ПОESET зафиксировала новую вредоносную кампанию группировки BlackTech.
17 июня 2019
ESET: в WhatsApp обнаружили новый вид мошенничестваПо сообщению Международной антивирусной компании ESET в WhatsApp обнаружен новый вид мошенничества
22 мая 2019
Обновление Windows 10 и Windows 7 ломают ПКПоследнее обновление для Windows принесло неприятности группам пользователей разных версий Windows. Например, при определенных условиях систему оказывалось невозможно загрузить; снова возникли проблемы с некоторыми антивирусами; для браузеров Microsoft потребовалось выпускать дополнительный патч.

Вопрос-ответ

Оксана:
После копирования 1:с Предприятия 7.7. на ноутбук Win. Vista. Открывается конфигуратор, монитор, отладчик, а сама программа пмшет что порядок сортировки базы даных отличается от системного. Скопирован с обычного Windows на наутбук установленный Wind. Vista Как исправить мою проблемку. P.S. Оксана

ответ()
Присоединяйтесь к нам в соцсетях:

ic y ic t
Показать на карте
 
Главный офис
Казахстан, г. Алматы,
Бизнес Центр МТС,
ул. Шевченко 165б,
оф. 707
Copyright © 2024, MSMAX.

При использовании материалов сайта
гиперссылка на сайт msmax.kz
обязательна.
ТОО «MsMax» Satu.kz
Наверх