Les attaques du XSS sont particulièrement sournoises. Et surtout populaire auprès des pirates informatiques. Nous vous montrons comment vous pouvez vous protéger contre le détournement de votre site - en tant qu'opérateur de site web et en tant qu'utilisateur.
1599 WordPress -Plugins ont été analysés par le fournisseur de sécurité Wordfence sur une période de 14 mois, et les vulnérabilités les plus fréquentes de toutes ont été les vulnérabilités dites XSS. Près de 47 % des lacunes constatées concernaient le cross-site scripting - XSS en abrégé. Une raison suffisante pour examiner de plus près ce type d'attaque, dans laquelle des pirates informatiques injectent du code malveillant dans votre site et le détournent virtuellement. Ainsi, les agresseurs utilisent votre blog, votre magasin ou le site web de votre entreprise comme véhicule de leurs activités illégales.
Les vulnérabilités XSS sont toujours dangereuses lorsque les données saisies par l'utilisateur sont transmises au serveur web sans être vérifiées, par exemple dans les formulaires de contact ou les champs de commentaires. Une fois exploités, les pirates peuvent voler des données, intégrer votre site dans un botnet ou infecter les ordinateurs de vos visiteurs. Heureusement, il existe des mesures de protection très simples contre les attaques XSS.
Le XSS est pertinent pour les visiteurs et les opérateurs du site
Il est important de comprendre que les vulnérabilités XSS des WordPress pages sont tout aussi pertinentes pour les opérateurs du site que pour les visiteurs. Les exploitants de sites sont exploités pour atteindre les objectifs de bas niveau des pirates et les visiteurs du site en sont souvent les victimes, par exemple en volant des données ou en diffusant des codes malveillants.
En principe, les attaques XSS commencent lorsque les utilisateurs envoient des données au serveur web de l'opérateur du site web. Du code est injecté à ces points névralgiques, qui - si la saisie de l'utilisateur n'est pas vérifiée de manière critique, par exemple par un pare-feu - peuvent infecter la page. Les différents types d'attaques XSS sont résumés dans notre article de fond sur le sujet.
Le plus important : les mises à jour régulières de WordPress
Les vulnérabilités que les pirates utilisent pour injecter du code malveillant se trouvent soit dans le noyau WordPress , soit dans Plugins ou Themes. C'est précisément la raison pour laquelle des mises à jour régulières de tous ces éléments sont si importantes. Les vulnérabilités qui ont été découvertes à ce jour sont corrigées dans ces mises à jour.
Il est également judicieux de lire régulièrement les détails des mises à jour des fabricants respectifs afin de se faire une idée des lacunes de sécurité qui sont régulièrement comblées grâce aux mises à jour. Pour la maintenance et les mises à jour de sécurité du noyau WordPress , ces informations sont documentées dans le blog WordPress , par exemple. Le meilleur exemple en est la dernière mise à jour de sécurité, WordPress 4.7.5.
Pare-feux et listes blanches contre les attaques XSS simples
Une autre mesure de protection simple contre les attaques XSS est ce qu'on appelle les pare-feu d'applications web, ou WAF. Ces pare-feu sont le cœur de la grande sécuritéPlugins et sont alimentés par les dernières vulnérabilités par l'équipe de recherche respective du fabricant. Un WAF est généralement une procédure qui protègelesapplications web contre les attaques via le protocoledetransfert hypertexte (HTTP).
Cependant, même ces mécanismes de protection ont leurs limites. Pour certaines attaques XSS, l'attaque a lieu via la base de données. Par conséquent, la vérification des entrées de l'utilisateur pour détecter les codes malveillants est l'un des mécanismes de sécurité centraux dans la lutte contre les attaques XSS. Par exemple, le contenu des commentaires est scanné pour détecter les chaînes de caractères suspectes et trié si nécessaire.
La sortie des données devrait également être sécurisée
Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:
Des compétences en programmation sont nécessaires pour mettre en œuvre ce projet. Cette protection de la sortie des données peut être facilement mise en œuvre par un développeur ou un CTO, par exemple.
Une bonne dose de scepticisme : comment les utilisateurs se protègent
Mais les attaques XSS n'affectent pas seulement les opérateurs de pages, mais aussi les visiteurs de ces pages. De nombreuses attaques XSS peuvent déjà être évitées par un traitement critique et attentif en relation avec les liens "étrangers". Par exemple, les utilisateurs ont la possibilité d'utiliser des modules complémentaires NoScript .Elles empêchent l'exécution de scripts, c'est-à-dire les lignes de code nuisibles qui volent des données, par exemple.
Si vous voulez être sûr, vous pouvez également éviter les scripts intersites côté client en désactivant simplement la prise en charge de JavaScript dans le navigateur. Car si ce soi-disant scripting actif est désactivée, certains types d'attaques XSS n'ont plus aucune chance, car les applications malveillantes ne sont même pas lancées. Cependant, la plupart des sites web modernes ne "fonctionnent" alors plus correctement - ou dans le pire des cas, ne fonctionnent plus du tout. Il est donc nécessaire de peser les aspects de sécurité et de convivialité.
Conclusion : les attaques XSS sont parfois très complexes, mais la protection est parfois assez simple.
Le XSS est un danger pour vous en tant qu'opérateur de site web ainsi que pour vos visiteurs et clients. Les vulnérabilités de Plugins ou Themes sont sans cesse mises en évidence. Par exemple, le Plugin WP Statistics, avec plus de 400 000 installations actives, ou encore WooCommerce et Jetpack, avec plus de trois millions d'installations actives chacun.
Si vous tenez à jour vos sites Plugins et Themes et que vous utilisez un WAF, vous avez déjà fait un grand pas dans la bonne direction. Si vous utilisez également des listes blanches pour les codes entrants et sortants, vous avez déjà parfaitement sécurisé votre site. Cependant, les deux dernières mesures en particulier ne sont pas faciles à mettre en œuvre sans connaissance de la programmation.
Par rapport aux attaqueBrute Force s assez primitives de les attaques XSS plus complexes sont malheureusement encore relativement souvent couronnées de succès. Toutefois, ces attaques dites complexes sont nettement moins nombreuses que les attaques deBrute Force sur les pages de WordPress .. Néanmoins, vous devez rendre les choses aussi difficiles que possible pour les agresseurs. Un piratage réussi coûte non seulement du temps et de l'argent pour la suppression des scripts, mais peut également mettre en danger votre position dans les moteurs de recherche.
Peut-être avez-vous déjà eu des expériences avec des attaques XSS ? Que faites-vous pour vous en protéger ?
