XSS Útoky: Jak chránit sebe, své zákazníky a vaše podnikání

Tobias Schüring Aktualizováno Dne 23.ledna 2020
5 min.
To umožňuje provozovatelům webových stránek a uživatelům chránit se před útoky skriptování mezi weby.
Naposledy aktualizováno Jan 23, 2020

XSS útoky jsou obzvláště nevyzpytatelné. A obzvláště oblíbený u hackerů. Ukážeme vám, jak se chránit před caper vašich stránek - jako provozovatel webových stránek a jako uživatel.

1599 WordPress - Plugins poskytovatel zabezpečení má Wordfence více než 14 měsíců Analyzovány a nejčastější zranitelností byla tzv. Chyby zabezpečení XSS. Téměř 47 procent zjištěných mezer souviselo se skriptováním mezi weby nebo zkráceně XSS. Důvod dost podívat se blíže na typ útoku, ve kterém hackeři injekci škodlivý kód do vašeho webu a prakticky unést. Útočníci používají váš blog, obchod nebo firemní stránku jako prostředek pro své nezákonné aktivity.

Tento graf ukazuje, že XSS wordfence což je nejčastější chyba zabezpečení Plugins je nalezen.
XSS je hlučný wordfence zranitelnost nejčastěji Plugins je nalezen.

Chyby zabezpečení XSS se stávají nebezpečnými vždy, když je vstup uživatele nezaškrtnutý na webový server, například v kontaktních formulářích nebo polích komentářů. Jakmile budou hackeři úspěšní, mohou ukrást data, integrovat stránku do botnetu nebo infikovat počítače návštěvníků. Naštěstí existuje několik velmi jednoduchých ochran proti útokům XSS.

XSS je stejně důležité pro návštěvníky a provozovatele stránek

Je důležité si uvědomit, že chyby zabezpečení XSS jsou WordPress stránky jsou stejně důležité pro provozovatele stránek a návštěvníky. Provozovatelé stránek jsou využíváni ke splnění nižších cílů hackera a návštěvníci stránek jsou často oběťmi, například krádeží dat nebo šířením škodlivého kódu.

V zásadě se spustí útoky XSS, kde uživatelé odesílají data na webový server provozovatele webu. V těchto neuralgických bodech je vložen kód, který – pokud vstup uživatele není kriticky kontrolován, například firewallem – může stránku infikovat. Různé typy xss útoků jsou článku na toto téma.

A co je nejdůležitější, pravidelné WordPress Aktualizace

Chyby zabezpečení, které hackeři používají k aplikaci škodlivého kódu, jsou WordPress -Jádro, v Plugins nebo v Themes . To je přesně důvod, proč pravidelné aktualizace všechny tyto komponenty jsou také tak důležité. Protože tyto aktualizace opravují chyby zabezpečení, které byly dosud nalezeny.

Má také smysl pravidelně číst podrobnosti aktualizace příslušných výrobců, abyste získali představu o tom, které bezpečnostní mezery jsou pravidelně zavírany prostřednictvím aktualizací. Pro údržbu a bezpečnostní aktualizace WordPress jádra, jsou tyto informace zobrazeny například v WordPress blog zdokumentován. Nejlepším příkladem je poslední aktualizace zabezpečení, WordPress 4.7.5.

Firewally a whitelisty proti jednoduchým útokům XSS

Dalším jednoduchým ochranným opatřením proti útokům XSS se Brány firewall webových aplikacínebo WAF. Tyto firewally jsou jádrem velkého zabezpečení Plugins a jsou krmeny nejnovějšími chybami zabezpečení výzkumným týmem výrobce. A WAF (WAF) je obecněji postup, který Aplikace před útoky prostřednictvím Přenos hypertextu Protokol (HTTP) chrání.

Tyto záruky však mají také své limity. Protože některé útoky XSS probíhají prostřednictvím databáze. Proto kontrola vstupu uživatele pro škodlivý kód je jedním z hlavních bezpečnostních opatření v boji proti útokům XSS. Například obsah komentářů k podezřelým řetězcům je naskenované a v případě potřeby vyřešeny.

Výstup dat by měl být rovněž

Pravidelné aktualizace zahrnují existující chyby zabezpečení XSS, brány firewall a whitelisty se pokoušejí filtrovat škodlivý kód dříve, než se dostane na webový server a může stránku infikovat. Výstup dat by však měl být odpovídajícím způsobem zálohován. Většina programovacích a skriptovacích jazyků, jako je PHP, Perl nebo JavaScript, již má předdefinované funkce nahrazení znaků nebo maskování. Ty zajišťují, že "problematické" metaznaky HTML < (např. " a &) jsou nahrazeny neškodnými odkazy na znaky. Tím zabráníte aktivaci škodlivého kódu. Také kód by měl být používán pomocí tzv. dezinfekční knihovny Vyčištěn. Za tímto účelem Plugin nainstalován na serveru a do zdrojového kódu stránky zahrnul další kód. K povoleným atributům například přidá následující fragment kódu:

To je to, co konfigurační kód, který potřebujete k provedení sanitace kódu může vypadat.
To je to, co kód, který potřebujete k provedení sanitace kódu může vypadat.

K jeho realizaci jsou zapotřebí znalosti programování. Například vývojář nebo CTO může snadno implementovat tuto ochranu výstupu dat.

Zdravá úroveň skepse: jak se uživatelé chrání

Ale nejen provozovatelé stránek, ale i návštěvníci stránek jsou ovlivněny útoky XSS. Mnoha útokům XSS lze zabránit kritickým a pečlivým zpracováním "cizích" odkazů. Uživatelé mají například možnost Doplňky noscriptu k použití. Ty zabraňují spuštění skriptů, tedy škodlivých řádků kódu, které kradou data, například.

Pokud chcete být na bezpečné straně, můžete také odvrátit skriptování na straně klienta na příčce webu jednoduše vypnutím podpory JavaScriptu v prohlížeči. Protože je to tzv. Aktivní skriptování zakáže, některé typy útoků XSS již nemají šanci, protože škodlivé aplikace nejsou spuštěny na prvním místě. Nicméně, většina moderních webových stránek již "fungovat" správně - nebo v nejhorším případě již fungovat vůbec. V tomto případě je proto nutné zvážit aspekty bezpečnosti a použitelnosti.

To je, jak můžete zakázat JavaScript s jedním kliknutím v nastavení prohlížeče Chrome.
To je, jak můžete zakázat JavaScript s jedním kliknutím v nastavení prohlížeče Chrome.

Závěr: XSS útoky jsou někdy velmi složité, ale ochrana je někdy poměrně jednoduchá

XSS představuje hrozbu pro vás jako provozovatele webových stránek, stejně jako pro vaše návštěvníky a zákazníky. Znovu a znovu se nedostatky v Plugins Nebo Themes Známý. Například v případě Plugin Wp statistiky, s více než 400 000 aktivními zařízeními nebo s WooCommerce a Jetpack, s více než třemi miliony aktivních zařízení.

Pokud chcete Plugins A Themes a pomocí WAF, ale již jste udělali velký krok správným směrem. Pokud používáte také whitelisty pro příchozí a odchozí kód, už jste svou stránku skvěle zabezpečili. Poslední dvě opatření však nejsou snadno proveditelná bez znalostí programování.

Ve srovnání s poměrně primitivní Brute Force Útoky bohužel složitější útoky XSS jsou stále relativně úspěšné. Těchto takzvaných komplexních útokůje však podstatně méně než Brute Force Útoky na WordPress Stránky Jsou. Pro útočníky byste to však měli co nejvíce ztížit. Vzhledem k tomu, úspěšný hack nejen stojí čas a peníze na odstranění skriptů, ale může také ohrozit vaši pozici ve vyhledávačích.

Možná jste měli zkušenosti s útoky XSS? Co děláš, aby ses před tím ochránil?

Jako správce systému společnost Tobias monitoruje naši infrastrukturu a hledá každý seřizovací šroub pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavné úsilí, on je často také Slack k nalezení.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena * .