XSS-attacker: Hur du skyddar dig själv, dina kunder och ditt företag

Tobias Schüring Senast uppdaterad den 23 jan 2020
5 Min.
Detta gör det möjligt för webbplatsoperatörer och användare att skydda sig mot skriptattacker på flera webbplatser.
Senast uppdaterad den 23 jan 2020

XSS-attacker är särskilt bedrägliga. Och särskilt populär bland hackare. Vi visar dig hur du skyddar dig mot kaparen på din webbplats – som webbplatsoperatör och som användare.

1599 WordPress - Plugins säkerhetsleverantören har Wordfence analyserades under 14 månader och den vanligaste sårbarheten någonsin var så kallade XSS-sårbarheter. Nästan 47 procent av de luckor som hittades var relaterade till skript över flera sajter, eller XSS för kort. Skäl nog att titta närmare på den typ av attack där hackare injicerar skadlig kod på din webbplats och praktiskt taget kapar den. Angriparna använder din blogg, butik eller företagssida som ett fordon för sina olagliga aktiviteter.

Det här diagrammet visar att XSS wordfence vilket är den vanligaste sårbarheten i Plugins hittas.
XSS är bullrigt wordfence den sårbarhet som oftast Plugins hittas.

XSS-sårbarheter blir farliga när användarinmatning vidarebefordras till webbservern omarkerad, till exempel i kontaktformulär eller kommentarsfält. När hackare har lyckats kan de stjäla data, integrera din sida i ett botnet eller infektera dina besökares datorer. Lyckligtvis finns det några mycket enkla skydd mot XSS-attacker.

XSS är lika relevant för besökare och webbplatsoperatörer

Det är viktigt att förstå att XSS-sårbarheter är WordPress sidor är lika relevanta för webbplatsoperatörer och besökare. Webbplatsoperatörer utnyttjas för att uppfylla hackarens lägre mål, och sidbesökare är ofta offer, till exempel genom att stjäla data eller sprida skadlig kod.

I princip börjar XSS-attacker där användare skickar data till webbplatsoperatörens webbserver. Vid dessa neuralgiska punkter injiceras kod som – om användarens indata inte kontrolleras kritiskt, t.ex. av en brandvägg – kan infektera sidan. De olika typerna av XSS-attacker sammanfattas i vår bakgrundsartikel om ämnet.

Viktigast av allt är att regelbundna WordPress Uppdateringar

De sårbarheter som hackare använder för att injicera den skadliga koden finns antingen i WordPress -Core, i Plugins eller i Themes . Det är därför regelbundna uppdateringar av alla dessa komponenter är så viktiga. Eftersom dessa uppdateringar åtgärdar de säkerhetsproblem som har hittats hittills.

Det är också vettigt att regelbundet läsa uppdateringsinformationen för respektive tillverkare för att få en uppfattning om vilka säkerhetsluckor som regelbundet stängs via uppdateringarna. För underhålls- och säkerhetsuppdateringar av WordPress kärninformationen, till exempel i WordPress blogg dokumenterad. Det bästa exemplet på detta är den senaste säkerhetsuppdateringen, WordPress 4.7.5.

Brandväggar och vitlistor mot enkla XSS-attacker

Ett annat enkelt skydd mot XSS-attacker är så kallade brandväggar för webbprogram, eller WAF. Dessa brandväggar är kärnan i stor säkerhet Plugins och matas med de senaste sårbarheterna av tillverkarens forskargrupp. En WAF är i allmänhet en metod som skyddar webbprogram från attacker via HTTP (Hypertext Transfer Protocol).

Men dessa skyddsåtgärder har också sina gränser. Eftersom vissa XSS-attacker sker via databasen. Därför är kontroll av användarinmatning för skadlig kod ett av de centrala skyddsåtgärderna i kampen mot XSS-attacker. Innehållet i kommentarer genomsöks till exempel efter misstänkta strängar och sorteras ut om det behövs.

Datautmatning bör också säkras

Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:

Så här kan konfigurationskoden du behöver för att utföra kod sanering se ut.
Så här kan koden du behöver för att utföra kod sanering se ut.

Programmeringsfärdigheter behövs för att genomföra detta. Detta dataskydd kan enkelt implementeras, till exempel.B av en utvecklare eller CTO.

En hälsosam nivå av skepsis: hur användare skyddar sig själva

Men inte bara webbplatsoperatörer, utan även sidbesökare påverkas av XSS-attacker. Många XSS-attacker kan förhindras genom kritisk och noggrann hantering av "utländska" länkar. Användare kan till exempel använda NoScript-tillägg. Dessa förhindrar körning av skript, dvs. de skadliga kodraderna som stjäl data .B.

Om du vill vara på den säkra sidan kan du också avvärja skript på klientsidan genom att helt enkelt stänga av JavaScript-stöd i webbläsaren. För om det här så kallade aktiva skriptet inaktiveras har vissa typer av XSS-attacker inte längre en chans, eftersom de skadliga programmen inte startas från början. Men de flesta moderna webbplatser "fungerar" inte längre ordentligt - eller i värsta fall inte längre fungerar alls. I detta fall är det därför nödvändigt att väga in säkerhets- och användbarhetsaspekterna.

Så här kan du inaktivera JavaScript med ett klick i webbläsarinställningarna i Chrome.
Så här kan du inaktivera JavaScript med ett klick i webbläsarinställningarna i Chrome.

Slutsats: XSS-attacker är ibland mycket komplexa, men skyddet är ibland ganska enkelt

XSS utgör ett hot mot dig som webbplatsoperatör samt mot dina besökare och kunder. Gång på gång, svagheter i Plugins Eller Themes Kända. När det till exempel gäller Plugin WP-statistik, med mer än 400 000 aktiva installationer, eller WooCommerce och Jetpack, med mer än tre miljoner aktiva installationer vardera.

Om du vill Plugins Och Themes och med en WAF, men du har redan tagit ett stort steg i rätt riktning. Om du också använder vitlistor för inkommande och utgående kod har du redan säkrat din sida utmärkt. De två sista åtgärderna är dock inte lätt genomförbara utan programmeringskunskaper.

Jämfört med den ganska primitiva Brute Force   Tyvärr är de mer komplexa XSS-attackerna fortfarande relativt vanliga. Det finns dock betydligt färre av dessa så kallade komplexa attacker ändet finns Brute Force Attacker på WordPress sidorna ger. Du bör dock göra det så svårt som möjligt för angripare. Eftersom ett framgångsrikt hack inte bara kostar tid och pengar att ta bort skripten, men kan också äventyra din position i sökmotorer.

Kanske har du erfarenhet av XSS-attacker? Vad gör du för att skydda dig mot det här?

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.