03.08.17
aktualizováno 23.01.20
Tobias Schüring
0 Komentáře
Tímto způsobem se mohou provozovatelé webových stránek a uživatelé chránit před útoky skriptování mezi weby.

Útoky XSS: Jak chránit sebe, své zákazníky a firmu

Útoky XSS jsou obzvláště záludné. A obzvláště populární u hackerů. Ukážeme vám, jak se můžete chránit před únosem vašeho webu - jako provozovatel webových stránek a jako uživatel.

Poskytovatel zabezpečení má 1599 pluginů WordPress Wordfence více než 14 měsíců a nejčastější zranitelností ze všech byly tzv. XSS zranitelnosti. Téměř 47 procent nalezených mezer mělo co do činění se skriptováním mezi weby - zkráceně XSS. Dostatečný důvod k bližšímu pohledu na typ útoku, při kterém hackeři vstříknou škodlivý kód do vašeho webu a virtuálně ho unesou. Útočníci tak používají váš blog, obchod nebo obchodní stránku jako prostředek pro své nezákonné aktivity.

Tento graf ukazuje, že XSS podle wordfence což je nejčastější zranitelnost nalezená v pluginech.
XSS je hlučný wordfence zranitelnost nejčastěji se vyskytující v pluginech.

Zranitelnosti XSS se vždy stávají nebezpečnými, když je vstup uživatele předáván na webový server nekontrolovaně, například v kontaktních formulářích nebo polích komentářů. Po úspěchu mohou hackeři ukrást data, integrovat vaše stránky do botnetu nebo infikovat počítače vašich návštěvníků. Naštěstí existuje několik velmi jednoduchých ochran proti útokům XSS.

XSS je stejně relevantní pro návštěvníky i provozovatele stránek

Je důležité si uvědomit, že zranitelnosti XSS na stránkách WordPress jsou stejně důležité pro provozovatele stránek a návštěvníky. Provozovatelé stránek jsou využíváni k plnění nízkých cílů hackerů a návštěvníci stránek jsou často oběťmi, například krádeží dat nebo šířením škodlivého kódu.

Útoky XSS v zásadě začínají tam, kde uživatelé odesílají data na webový server provozovatele webu. V těchto neuralgických bodech je zaveden kód, který – pokud není vstup uživatele kriticky kontrolován, např. firewallem – může stránku infikovat. Různé typy útoků XSS jsou shrnuty v našem článku na pozadí na toto téma.

Nejdůležitější: Pravidelné aktualizace WordPress

Zranitelnosti, kterými hackeři injektují škodlivý kód, jsou buď v jádru WordPress, v pluginech nebo v motivech. Proto jsou pravidelné aktualizace všech těchto komponent tak důležité. Protože v těchto aktualizacích jsou opraveny chyby zabezpečení, které byly dosud nalezeny.

Má také smysl pravidelně číst podrobnosti o aktualizacích příslušných výrobců, abyste získali pocit, které bezpečnostní mezery jsou aktualizacemi pravidelně uzavírány. Pro údržbu a bezpečnostní aktualizace jádra WordPress jsou tyto informace dokumentovány například v blogu WordPress. Nejlepším příkladem je nejnovější aktualizace zabezpečení WordPress 4.7.5.

Firewally a whitelisty proti jednoduchým XSS útokům

Dalším jednoduchým ochranným opatřením proti XSS útokům jsou tzv. firewally webových aplikací, neboli WAF. Tyto firewally jsou srdcem velkých bezpečnostních pluginů a jsou napájeny nejnovějšími zranitelnostmi příslušného výzkumného týmu výrobce. WAF je obecně metoda, která chrání webové aplikace před útoky prostřednictvím protokolu HTTP (Hypertext Transfer Protocol).

Tyto ochranné mechanismy však mají také své limity. U některých XSS útoků dochází k útoku prostřednictvím databáze. Kontrola vstupu uživatele pro škodlivý kód je proto jedním z centrálních bezpečnostních mechanismů v boji proti útokům XSS. Například obsah komentářů je naskenován na podezřelé řetězce a v případě potřeby roztříděn.

Datový výstup by měl být také zabezpečen

Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:

Takto může vypadat konfigurační kód, který potřebujete k provedení sanitizace kódu.
Takto může vypadat kód, který potřebujete k provedení sanitizace kódu.

Aby bylo možné to implementovat, jsou vyžadovány znalosti programování. Tuto ochranu datového výstupu lze snadno implementovat, e.B. vývojářem nebo CTO.

Zdravá úroveň skepticismu: Jak se uživatelé chrání

Ale nejen provozovatelé stránek, ale i návštěvníci stránek jsou ovlivněni útoky XSS. Mnoha útokům XSS lze již zabránit kritickým a pečlivým zacházením s "cizími" odkazy. Uživatelé mají například možnost použít doplňky NoScript. Ty zabraňují provádění skriptů, tj. škodlivých řádků kódu, které kradou e.B data.

Pokud chcete být na bezpečné straně, můžete také zabránit skriptování mezi weby na straně klienta jednoduše vypnutím podpory JavaScriptu v prohlížeči. Pokud je toto takzvané aktivní skriptování deaktivováno, některé typy útoků XSS již nemají šanci, protože škodlivé aplikace nejsou spuštěny na prvním místě. Většina moderních webových stránek však již "nefunguje" správně - nebo v nejhorším případě již vůbec. Zde je proto nutné zvážit mezi aspekty bezpečnosti a použitelnosti.

Chcete-li zakázat JavaScript jedním kliknutím v nastavení prohlížeče Chrome.
Chcete-li zakázat JavaScript jedním kliknutím v nastavení prohlížeče Chrome.

Závěr: XSS útoky jsou někdy velmi složité, ale ochrana je někdy poměrně jednoduchá

XSS představuje nebezpečí pro vás jako provozovatele webových stránek, stejně jako pro vaše návštěvníky a zákazníky. Znovu a znovu se objevují zranitelnosti v pluginech nebo motivech. Například s pluginem WP Statistics, s více než 400 000 aktivními instalacemi nebo s WooCommerce a Jetpack, každý s více než třemi miliony aktivních instalací.

Pokud udržujete své pluginy a motivy aktuální a používáte WAF, již jste udělali velký krok správným směrem. Pokud používáte také seznam povolených pro příchozí a odchozí kód, již jste stránku dokonale zabezpečili. Zejména poslední dvě opatření však nelze provést snadno a bez znalosti programování.

Ve srovnání s poměrně primitivními útoky hrubou silou  jsou složitější XSS útoky bohužel stále poměrně často úspěšné. Existuje však výrazně méně těchto takzvaných komplexních útoků než útoků hrubou silou na stránkách WordPress. Přesto byste to měli útočníkům co nejvíce ztížit. Protože úspěšný hack nejen stojí čas a peníze na odstranění skriptů, ale může také ohrozit vaši pozici ve vyhledávačích.

Možná jste již měli zkušenosti s útoky XSS? Co děláte, abyste se před tím ochránili?

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Tobias Schüring

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.