Útoky XSS: Jak chránit sebe, své zákazníky a firmu

Tobias Schüring Naposledy aktualizováno 23. ledna 2020
5 min.
To umožňuje provozovatelům webových stránek a uživatelům chránit se před útoky skriptování mezi weby.
Naposledy aktualizováno 23. ledna 2020

XSS útoky jsou obzvláště nevyzpytatelné. A obzvlášť populární u hackerů. Ukážeme vám, jak se chránit před omezením vašeho webu – jako provozovatel webových stránek a jako uživatel.

1599 WordPress - Plugins poskytovatel zabezpečení má Wordfence analyzovány během 14 měsíců a nejčastější chybou zabezpečení byly tzv. Téměř 47 procent nalezených mezer souviselo se skriptováním mezi weby nebo zkráceně SSS. Dostatečný důvod podívat se podrobněji na typ útoku, při kterém hackeři vloží škodlivý kód na váš web a prakticky ho zneužije. Útočníci používají váš blog, obchod nebo stránku společnosti jako vozidlo pro své nezákonné aktivity.

Tento graf ukazuje, že XSS wordfence což je nejčastější chyba zabezpečení Plugins je nalezena.
XSS je hlučný wordfence chyba zabezpečení nejčastěji Plugins je nalezena.

Chyby zabezpečení XSS se stanou nebezpečnými při každém nepřerušeném vstupu uživatele na webový server, například v kontaktních formulářích nebo polích komentářů. Po úspěchu mohou hackeři ukrást data, integrovat stránku do botnetu nebo infikovat počítače vašich návštěvníků. Naštěstí existují některé velmi jednoduché ochrany proti útokům XSS.

XSS je stejně relevantní pro návštěvníky a provozovatele stránek

Je důležité si uvědomit, že chyby zabezpečení XSS jsou WordPress stránky jsou stejně relevantní pro provozovatele stránek a návštěvníky. Provozovatelé stránek jsou zneužíváni ke splnění nižších cílů hackera a návštěvníci stránek jsou často oběťmi, například krádeží dat nebo šířením škodlivého kódu.

Útoky XSS v zásadě začínají tam, kde uživatelé odesílají data na webový server operátora webu. V těchto neuralgických bodech je vložen kód, který – pokud není kriticky kontrolován uživatelský vstup, např. firewallem – může infikovat stránku. Různé typy útoků XSS jsou shrnuty v našem článku na pozadí na toto téma.

A co je nejdůležitější, pravidelné WordPress Aktualizace

Chyby zabezpečení, které hackeři používají k vložení škodlivého kódu, jsou WordPress -Jádro, v Plugins nebo v Themes . Proto jsou pravidelné aktualizace všech těchto komponent tak důležité. Protože tyto aktualizace opravují dosud nalezené chyby zabezpečení.

Má také smysl pravidelně číst podrobnosti aktualizace příslušných výrobců, abyste získali představu o tom, které bezpečnostní mezery jsou pravidelně zacelovány prostřednictvím aktualizací. Pro údržbu a aktualizace zabezpečení WordPress jádra, jsou tyto informace zobrazeny například v WordPress blog zdokumentován. Nejlepším příkladem je poslední aktualizace zabezpečení, WordPress 4.7.5.

Brány firewall a seznamy povolených položek proti jednoduchým útokům XSS

Další jednoduchou ochranou proti útokům XSS jsou tzv. firewally webových aplikacínebo WAF. Tyto firewally jsou jádrem velkého zabezpečení Plugins a jsou krmeny nejnovějšími zranitelnostmi výzkumného týmu výrobce. Waf je obecně metoda, která chrání webové aplikace před útoky prostřednictvím protokolu HTTP (Hypertext Transfer Protocol).

Tato ochranná opatření však mají také své meze. Protože některé XSS útoky se konají prostřednictvím databáze. Proto je kontrola vstupu uživatele pro škodlivý kód jednou z centrálních záruk v boji proti útokům XSS. Například obsah komentářů je naskenován na podezřelé řetězce a v případě potřeby seřazen.

Výstup dat by měl být rovněž zabezpečen

Pravidelné aktualizace zahrnují existující chyby zabezpečení XSS, brány firewall a seznamy povolených položek se pokoušejí filtrovat škodlivý kód před tím, než se dostane na webový server, a mohou infikovat stránku. Výstup údajů by však měl být odpovídajícím způsobem také zálohovány. Většina programovacích a skriptovacích jazyků, například PHP, Perl nebo JavaScript, již má předdefinované funkce pro nahrazení nebo maskování znaků. Ty zajišťují, že "problematické" metaznaky HTML (e.B, > a < &) jsou nahrazeny neškodnými odkazy na znaky. Tím zabráníte aktivaci škodlivého kódu. Kód by měl být také vyčištěn pomocí tzv. sanitizačních knihoven. Za tímto účelem Plugin nainstalována na serveru a zahrnula další kód do zdrojového kódu stránky. K povolených atributům se například přidá následující fragment kódu:

Takhle může vypadat konfigurační kód, který potřebujete k provedení dezinfekce kódu.
Takhle může vypadat kód, který potřebujete k provedení dezinfekce kódu.

K tomu jsou zapotřebí programovací dovednosti. Tuto ochranu výstupu dat lze snadno implementovat například .B vývojářem nebo ČTÚ.

Zdravá míra skepse: jak se uživatelé chrání

Útoky XSS se však neovlivní pouze na operátory webu, ale také na návštěvníky stránek. Mnoha útokům XSS lze zabránit kritickým a pečlivým zpracováním "cizích" odkazů. Uživatelé mohou například používat doplňky NoScript. Ty zabraňují provádění skriptů, tj. škodlivých řádků kódu, které kradou data .B.

Pokud chcete být na bezpečné straně, můžete také odvrátit skriptování na straně klienta jednoduše vypnutím podpory JavaScriptu v prohlížeči. Protože pokud je toto takzvané aktivní skriptování deaktivováno, některé typy útoků XSS již nemají šanci, protože škodlivé aplikace nejsou v první řadě spuštěny. Většina moderních webových stránek však již "nefunguje" správně – nebo v nejhorším případě již vůbec nefunguje. V tomto případě je proto nutné zvážit aspekty bezpečnosti a použitelnosti.

Tímto způsobem můžete zakázat JavaScript jedním kliknutím v nastavení prohlížeče Chrome.
Tímto způsobem můžete zakázat JavaScript jedním kliknutím v nastavení prohlížeče Chrome.

Závěr: XSS útoky jsou někdy velmi složité, ale ochrana je někdy poměrně jednoduchá

XSS představuje hrozbu pro vás jako provozovatele webových stránek i pro vaše návštěvníky a zákazníky. Znovu a znovu, nedostatky v Plugins Nebo Themes Známý. Například v případě Plugin statistika WPs více než 400 000 aktivními instalacemi nebo WooCommerce a Jetpacks více než třemi miliony aktivních instalací.

Pokud chcete Plugins A Themes a pomocí WAF, ale již jste udělali velký krok správným směrem. Pokud také používáte seznamy whitelistů pro příchozí a odchozí kód, již jste stránku skvěle zabezpečili. Poslední dvě opatření však nejsou snadno proveditelná bez znalostí programování.

Ve srovnání s poměrně primitivními Brute Force   Složitější útoky XSS jsou bohužel stále poměrně časté. Těchto takzvaných komplexních útoků je však výrazně méněnež Brute Force Útoky na WordPress stránky udílá. Útočníkům byste to však měli co nejvíce ztížit. Protože úspěšný hack stojí nejen čas a peníze na odstranění skriptů, ale může také ohrozit vaši pozici ve vyhledávačích.

Možná máte zkušenosti s XSS útoky? Co děláš, aby ses před tím ochránil?

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.