Egyszerűsített nézet TELJES NÉZET
Ne maradjon le a legújabb kiberbiztonsági hírekről, fejlesztésekről, kutatási eredményekről és fenyegetés riasztásokról!
KATTINTSON IDE és iratkozzon fel ingyenes hírlevelünkre, hogy a legfontosabb információk biztosan eljussanak Önhöz!
Cross-site scripting (XSS) sérülékenység javítása, megelőzése
Mi az a Cross-site scripting (XSS) sérülékenység, támadás?
A Cross-site scripting (XSS) sérülékenység kihasználása során a kibertámadó olyan kódrészletet (payload) küld (vagy küldet be az áldozat böngészőjével) egy webes szolgáltatás kiszolgálójára vagy kliensoldali felületére, ami manipulálja a szolgáltatás kliensoldali működését.
- Reflected XSS: A kibertámadó az áldozat böngészőjével küldeti a webes szolgáltatásba a manipuláló kódot és kizárólag az adott áldozat böngészőjében futó kliensoldali felületre van hatással.
- Stored XSS: A manipuláló kód a webes szolgáltatás kiszolgálóján is tárolásra kerül, így minden (az érintett felületet elérő) felhasználó böngészőjében futó kliensoldali felületre van hatással.
- DOM-alapú: Hasonló a Reflected XSS-hez, viszont ebben az esetben a kibertámadó a kliensoldalon megjelenített webes felület DOM (Document Object Model) szerkezetét is felhasználja.
- Self-XSS: A kibertámadó social engineering módszerekkel (manipulatív átverésekkel) ráveszi a felhasználót az általa átadott kód lefuttatására.
Mi a Cross-site scripting (XSS) sérülékenység kockázata?
A webes szolgáltatás nem kezeli és korlátozza megfelelően a felé irányuló kéréseket, aminek eredményeként olyan kódok futhatnak le az áldozat(ok) böngészőjében, amik adathalászatra, dezinformáció terjesztésére és akár szerveroldali manipulációra is használhatók.
Hogyan javítható és előzhető meg a Cross-site scripting (XSS) sérülékenység?
- Whitelist alkalmazása és kizárólag a várt kérések engedélyezése kliens- és szerveroldalon egyaránt.
- A kérések tartalmának szűrése, abból eltávolítva az Cross-site scripting (XSS) támadásra utaló karakterláncokat
- Web Application Firewall (WAF, webalkalmazás tűzfal) alkalmazása
Hogyan ellenőrizhető a Cross-site scripting (XSS) sérülékenység jelenléte?
Kapcsolódó weboldalak