Atak XSS - poradnik hakera
W tym wideo dowiesz się czym charakteryzuje się atak XSS. Ataki cross-site scripting są drugim najcześciej występującym atakiem hakerskim na aplikacje webowe. Cyberprzestępcy potrafią za jego pomocą włamać się na stronę internetową, umieszczając tam złośliwy kod JavaScript, HTML lub CSS.
Ataki XSS poprzez możliwość osadzenia na stornie złośliwego kodu JS, umożliwiają wywołanie złośliwych akcji nieporządanych przez użytkownika strony internetowej. Mogą one prowadzić przykładowo do:
- przejęcia konta administratora systemu internetowego,
- wykonania złośliwego zapytania protokołu HTTP,
- kradzież sesji i ciasteczek użytkownika strony internetowej.
Ataki XSS - podział
-
reflected xss - ukryty w adresie WWW,
-
persistent xss - trwałe,
-
lokalny XSS.
Programy cross-site scripting
Na rynku istnieje wiele narzędzi hakerskich służących do testowania zabezpieczeń stron internetowych i podatności ich na ataki XSS. Można wymienić między innymi takie narzędzia jak XSSer, XSS Scanner online, XSStrike, xssmap, xenotix lub xssfinder. Istnieje również w bazach danych exploitów, bardzo duża liczba podatności XSS do takich popularnych systemów CMS jak Wordpress, Joomla, Drupal lub Shopify.
Na powyższym obrazku widzimy, przykład kradzieży sesji użytkownika umożliwiajacej zalogowanie się bez podania hasła.
Do ochrony przed atakami XSS stosuje się aplikacje nazywane potocznie xssfilter. Wtyczki internetowe typu noscript mogą również obronić użytkownika internetu przed atakiem cross site, jednakże trzbe amieć na uwadzę, że ograniczają one funkcjonalność strony internetowej.
Używanie również przez programistów nowoczesnych Frameworków webowych takich jak React.js, Symfony, Laravel, Angular, Vue, Spring lub Django mogą uchronić właściciela strony internetowej przed różnymi typami atakami XSS ze strony crackerów. Warto nadmienić tutaj, że należy aktualizować oprogramowanie webowe w miarę często. Niedopilnowanie tej czynnośći muże skutkować włamaniem na stronę www.
Wideo jest rozszerzeniem poradnika na blogu: Jak włamać się na stronę internetową
Komentarze