XSS-angreb: Sådan beskytter du dig selv, dine kunder og din virksomhed

Tobias Schüring Senest opdateret den 23.
5 Min.
Dette gør det muligt for webstedsoperatører og brugere at beskytte sig mod scriptangreb på tværs af websteder.
Senest opdateret den 23.

XSS-angreb er særligt luskede. Og især populær hos hackere. Vi viser dig, hvordan du beskytter dig mod kapers på dit websted - som en hjemmeside operatør og som bruger.

1599 WordPress - Plugins sikkerhedsudbyderen har Wordfence analyseret over 14 måneder, og den mest almindelige sårbarhed nogensinde var såkaldte XSS-sårbarheder. Næsten 47 procent af de fundne huller var relateret til cross-site scripting, eller XSS for korte. Grund nok til at se nærmere på den type angreb, hvor hackere injicere ondsindet kode i dit websted og næsten kapre det. Angriberne bruger din blog, butik eller virksomhedsside som et køretøj til deres ulovlige aktiviteter.

Dette diagram viser, at XSS wordfence som er den mest almindelige sårbarhed i Plugins findes.
XSS larmer wordfence den mest almindelige sårbarhed Plugins findes.

XSS-sårbarheder bliver farlige, når brugerinput videresendes til webserveren uden kontrol, f.eks. Når det er lykkedes, kan hackerne stjæle data, integrere din side i et botnet eller inficere dine besøgendes computere. Heldigvis er der nogle meget enkle beskyttelser mod XSS-angreb.

XSS er lige så relevant for besøgende og webstedsoperatører

Det er vigtigt at forstå, at XSS-sårbarheder er WordPress sider er lige så relevante for webstedsoperatører og besøgende. Site operatører udnyttes til at opfylde hackerens lavere mål, og side besøgende er ofte ofre, for eksempel ved at stjæle data eller sprede ondsindet kode.

I princippet starter XSS-angreb, hvor brugerne sender data til webstedsoperatørens webserver. På disse neuralgiske punkter injiceres kode, som – hvis brugerinput ikke kontrolleres kritisk, f.eks. af en firewall – kan inficere siden. De forskellige typer XSS-angreb er opsummeret i vores baggrundsartikel om emnet.

Vigtigst af alt, regelmæssig WordPress Opdateringer

De sårbarheder, som hackere bruger til at injicere den ondsindede kode, findes enten i WordPress -Core, i Plugins eller i Themes . Derfor er regelmæssige opdateringer til alle disse komponenter så vigtige. Fordi disse opdateringer løser de sårbarheder, der er fundet indtil videre.

Det giver også mening regelmæssigt at læse opdateringsoplysningerne for de respektive producenter for at få en fornemmelse af, hvilke sikkerhedshuller der regelmæssigt lukkes via opdateringerne. Til vedligeholdelse og sikkerhedsopdateringer af WordPress vises disse oplysninger f.eks. WordPress blog dokumenteret. Det bedste eksempel på dette er den sidste sikkerhedsopdatering, WordPress 4.7.5.

Firewalls og whitelister mod simple XSS-angreb

En anden simpel beskyttelse mod XSS-angreb er såkaldte webprogramfirewallseller WAF. Disse firewalls er kernen i stor sikkerhed Plugins og fodres med de nyeste sårbarheder af producentens forskerhold. En WAF er generelt en metode, der beskytter webprogrammer mod angreb via HTTP (Hypertext Transfer Protocol).

Disse sikkerhedsforanstaltninger har imidlertid også deres begrænsninger. Fordi nogle XSS-angreb finder sted via databasen. Derfor er kontrol af brugerinput for ondsindet kode en af de centrale sikkerhedsforanstaltninger i kampen mod XSS-angreb. For eksempel scannes indholdet af kommentarer for mistænkelige strenge og sorteres om nødvendigt.

Dataoutput bør også sikres

Regelmæssige opdateringer omfatter eksisterende XSS-sårbarheder, firewalls og hvidlister, der forsøger at filtrere skadelig kode, før den når webserveren og kan inficere siden. Dataoutputtet bør dog også sikkerhedskopieres i overensstemmelse hermed. De fleste programmerings- og scriptsprog, f.eks. Disse sikrer, at "problematiske" HTML-metategn (e.B, < > og &) erstattes af harmløse tegnreferencer. Dette forhindrer, at den skadelige kode aktiveres. Koden skal også ryddes op ved hjælp af såkaldte desinficeringsbiblioteker. Med henblik herpå er en Plugin installeret på serveren og indeholdt yderligere kode i sidekildekoden. Følgende kodestykke føjes f.eks.

Sådan kan den konfigurationskode, du skal bruge for at udføre koderensning, se ud.
Sådan kan den kode, du skal bruge for at udføre koderensning, se ud.

Der er behov for programmeringsfærdigheder for at gennemføre dette. Denne databeskyttelse kan f.eks. nemt implementeres.B af en udvikler eller CTO.

Et sundt niveau af skepsis: hvordan brugerne beskytter sig selv

Men ikke kun webstedsoperatører, men også sidebesøgende påvirkes af XSS-angreb. Mange XSS-angreb kan forebygges ved kritisk og omhyggelig håndtering af "udenlandske" links. Brugerne kan f.eks. Disse forhindrer udførelsen af scripts, dvs ondsindede linjer kode, der stjæler data .B.

Hvis du ønsker at være på den sikre side, kan du også afværge klient-side cross-site scripting blot ved at slukke JavaScript støtte i browseren. For hvis denne såkaldte active scripting deaktiveres, har visse typer XSS-angreb ikke længere en chance, fordi de ondsindede programmer ikke startes i første omgang. Men de fleste moderne hjemmesider ikke længere "arbejde" ordentligt - eller i værste fald ikke længere fungerer på alle. I dette tilfælde er det derfor nødvendigt at afveje sikkerheds- og brugervenlighedsaspekterne.

Sådan kan du deaktivere JavaScript med et enkelt klik i Indstillingerne for Chrome-browseren.
Sådan kan du deaktivere JavaScript med et enkelt klik i Indstillingerne for Chrome-browseren.

Konklusion: XSS-angreb er undertiden meget komplekse, men beskyttelsen er undertiden ret enkel

XSS udgør en trussel mod dig som webstedsoperatør såvel som mod dine besøgende og kunder. Igen og igen er svagheder i Plugins Eller Themes Kendt. I tilfælde af f.eks. Plugin WP-statistikmed mere end 400.000 aktive installationer, eller WooCommerce og Jetpack, med mere end tre millioner aktive installationer hver.

Hvis du vil Plugins Og Themes og ved hjælp af en WAF, men du har allerede taget et stort skridt i den rigtige retning. Hvis du også bruger hvidlister til indgående og udgående kode, har du allerede sikret din side fremragende. De to sidste foranstaltninger er imidlertid ikke umiddelbart gennemførlige uden programmeringsviden.

Sammenlignet med de ret primitive Brute Force   Desværre er de mere komplekse XSS-angreb stadig relativt almindelige. Der er dog betydeligt færre af disse såkaldte komplekse angreb,end der er Brute Force Angreb på WordPress sider giver. Du bør dog gøre det så svært som muligt for angribere. Fordi en vellykket hack ikke kun koster tid og penge til at fjerne scripts, men kan også bringe din position i søgemaskinerne.

Måske har du haft erfaring med XSS-angreb? Hvad gør du for at beskytte dig mod dette?

Som systemadministrator overvåger Tobias vores infrastruktur og finder alle justeringsskruer for at optimere vores serveres ydeevne. På grund af hans utrættelige indsats, er han ofte også Slack findes.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.