Cross-Site Scripting (XSS) napadi

Rečnik, 23.06.2011, 08:38 AM

Cross-Site Scripting (XSS) napadi

Cross-Site Scripting (XSS) jedan je od najčešćih oblika hakerskih napada na internetu. XSS napadi češće pogađaju korisnike, npr. njihove browser-e, a ređe skripte na strani servera. XSS napadi oslanjaju se na manipulaciju skriptama veb aplikacije koje se izvršavaju na način na koji to želi neko ko je zlonameran. Takva manipulacija može biti postavljanje skripte na strani koja se potom izvršava svaki put kada se stranica učitava.

XSS je danas najčešća ranjivost u bezbednosti softvera iako to ne bi trebalo da bude tako s obzirom da je XSS lako otkriti i popraviti. XSS ranjivosti mogu za posledicu imati manipulaciju podacima kao i njihovu krađu.

Ključne odlike XSS napada

  • XSS napadi se odvijaju na ranjivim veb aplikacijama

  • U XSS napadima žrtva je korisnik a ne aplikacija

  • U XSS napadima zlonamerni sadržaj isporučuje se korisnicima pomoću JavaScript-a

XSS ranjivost nastaje kada veb aplikacije uzmu podatke od korisnika i dinamički ih uključuju u veb stranice bez prethodne valjane provere podataka. XSS ranjivosti omogućavaju napadaču da izvršava proizvoljne komande i prikazuje proizvoljni sadržaj u browser-u napadnutog korisnika. Uspešan XSS napad dovodi do toga da napadač preuzima kontrolu nad browser-om ili nalogom za ranjivu veb aplikaciju. Iako je XSS napad omogućen ranjivostima u veb aplikaciji, žrtve takvih napada su korisnici aplikacije, a ne aplikacija sama po sebi. Potencijal XSS ranjivosti leži u činjenici da se zlonamerni kod izvršava u sklopu sesije korisnika, omogućavajući da napadač zaobiđe normalna zaštitna ograničenja.

Vrste XSS napada

Refleksivni XSS napadi

Ima mnogo načina na koje napadač može da podstakne žrtvu da pokrene ovakav XSS zahtev. Na primer, napadač može da pošalje email žrtvi sa linkom koji sadrži zlonamerni JavaScript. Ukoliko korisnik klikne na link, njegov browser inicira HTTP zahtev i šalje ga ranjivoj veb aplikaciji. Maliciozni JavaScript se reflektuje u browser-u korisnika gde se izvršava u sklopu korisnikove sesije.

Perzistentni XSS napadi

Ova vrsta XSS napada oslanja se na veb aplikaciju koja omogućava napadaču da unese neki podatak, na primer korisničko ime koje se prikazuje na profilnoj stranici svakog korisnika. Aplikacija čuva svako korisničko ime u lokalnoj bazi podataka. Napadač, koji uoči da veb aplikacija ne proverava dobro sadržaj unetog polja, ubacuje maliciozni JavaScript kod u to polje, recimo kao deo korisničkog imena. Kada drugi korisnici pregledaju napadačevu profilnu stranicu, zlonamerni kod se automatski izvršava u sklopu njihove sesije.

Učinak XSS napada

Kada napadači uspešno koriste XSS ranjivosti, oni ostvaruju pristup poverljivim podacima potrebnim za prijavljivanje na nalog. Oni takođe mogu distribuirati internet crve ili pristupiti korisnikovom računaru i pregledati istoriju korisnikovog browser-a ili kontrolisati browser sa daljine. Nakon ostvarivanja kontrole nad sistemom korisnika, napadači isto tako mogu analizirati i koristiti druge intranet aplikacije.

Iskorišćavanjem XSS ranjivosti, napadači mogu izvoditi zlonamerne i opasne aktivnosti, kao što su:

  • Preotimanje naloga

  • Širenje internet crva

  • Pristup istoriji browser-a i sačuvanog sadržaja

  • Kontrola browser-a sa daljine

  • Pregled i iskorišćavanje intranet uređaja i aplikacija

Izvor


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Šta je napad ''pregledač u pregledaču'' i kako da ga prepoznate

Šta je napad ''pregledač u pregledaču'' i kako da ga prepoznate

U svojoj nemilosrdnoj potrazi za lozinkama i drugim vrednim informacijama, sajber kriminalci neprestano izmišljaju nove načine da obmanu korisnike. ... Dalje

Ransomware

Ransomware je vrsta zlonamernog softvera koja onemogućava pristup sistemu koji inficira na različite, zahtevajući od korisnika da plati kako bi mu ... Dalje

SSL sertifikati

SSL (skraćeno od Secure Sockets Layer) sertifikati su najjednostavnije rečeno, šifrovana (enkriptovana) veb veza između klijentovog brauzera i ser... Dalje

Etički haker (white hat haker)

Etički haker (white hat haker)

Etički haker je stručnjak za kompjutersku bezbednost koji je specijalizovan za testiranje sistema i mreža i koji sprovodi hakerske napade na zahtev... Dalje

Cross-Site Scripting (XSS) napadi

Cross-Site Scripting (XSS) napadi

Cross-Site Scripting (XSS) jedan je od najčešćih oblika hakerskih napada na internetu. XSS napadi češće pogađaju same posetioce, npr. njihove b... Dalje