XSS-attacker: Hur du skyddar dig själv, dina kunder och ditt företag

Tobias Schüring Uppdaterad den 23 jan 2020
5 Min.
Detta gör det möjligt för webbplatsoperatörer och användare att skydda sig mot skriptattacker mellan webbplatser.
Senast uppdaterad den 23 jan 2020

XSS-attacker är särskilt försåtliga. Och särskilt populär bland hackare. Vi visar dig hur du skyddar dig mot kapris på din webbplats - som en webbplats operatör och som användare.

1599 WordPress - Plugins säkerhetsleverantören har Wordfence över 14 månader Analyseras och den vanligaste sårbarheten någonsin var så kallad XSS sårbarheter. Nästan 47 procent av de luckor som hittades var relaterade till skript över flera webbplatser, eller XSS för korta. Skäl nog att titta närmare på vilken typ av attack där hackare injicera skadlig kod på din webbplats och praktiskt taget kapa den. Angriparna använder din blogg, butik eller företag sida som ett fordon för sina olagliga aktiviteter.

Det här diagrammet visar att XSS Wordfence vilket är den vanligaste sårbarheten i Plugins finns.
XSS är bullrigt Wordfence sårbarheten oftast Plugins finns.

XSS-sårbarheter blir farliga när användarindata vidarebefordras till webbservern omarkerad, till exempel i kontaktformulär eller kommentarsfält. När det har lyckats kan hackarna stjäla data, integrera din sida i ett botnät eller infektera besökarnas datorer. Lyckligtvis finns det några mycket enkla skydd mot XSS-attacker.

XSS är lika relevant för besökare och webbplatsoperatörer

Det är viktigt att förstå att XSS-sårbarheter WordPress sidor är lika relevanta för webbplatsoperatörer och besökare. Webbplatsoperatörer utnyttjas för att uppfylla hackarens lägre mål, och sidbesökare är ofta offer, till exempel genom att stjäla data eller sprida skadlig kod.

I princip startar XSS-attacker där användare skickar data till webbplatsoperatörens webbserver. Vid dessa neuralgiska punkter injiceras kod som – om användarens indata inte kontrolleras kritiskt, t.ex. De olika typerna av XSS-attacker Bakgrundsartikel på ämnet.

Viktigast av allt, regelbundna WordPress Uppdateringar

De sårbarheter som hackare använder för att injicera den skadliga koden finns antingen i WordPress -Kärna, i Plugins eller i Themes . Det är just därför som regelbundna uppdateringar alla dessa komponenter är också så viktiga. Eftersom dessa uppdateringar åtgärda de sårbarheter som har hittats hittills.

Det är också vettigt att regelbundet läsa uppdateringsdetaljer för respektive tillverkare för att få en känsla av vilka säkerhetsluckor som regelbundet stängs via uppdateringarna. För underhåll och säkerhetsuppdateringar av WordPress kärnning visas denna information, till exempel i WordPress blogg dokumenteras. Det bästa exemplet på detta är den senaste säkerhetsuppdateringen, WordPress 4.7.5.

Brandväggar och vitlistor mot enkla XSS-attacker

En annan enkel skyddsåtgärd mot XSS-attacker är så kallade Brandväggar för webbprogram, eller WAF. Dessa brandväggar är kärnan i stora Plugins och matas med de senaste sårbarheterna av tillverkarens forskargrupp. A WAF är mer allmänt ett förfarande som Program före attacker via Hypertext överföring Protokollet (HTTP) skyddar.

Dessa skyddsåtgärder har emellertid också sina begränsningar. Eftersom vissa XSS-attacker sker via databasen. Därför är kontroll av användarindata för skadlig kod en av de centrala skyddsåtgärderna i kampen mot XSS-attacker. Innehållet i kommentarer på misstänkta strängar är till exempel skannas och sorteras ut om det behövs.

Datautdata bör också säkras

Regelbundna uppdateringar omfattar befintliga XSS-säkerhetsproblem, brandväggar och vitlistor försöker filtrera skadlig kod innan den når webbservern och kan infektera sidan. Datautdata bör dock också säkerhetskopieras i enlighet med detta. De flesta programmerings- och skriptspråk, till exempel PHP, Perl eller JavaScript, har redan fördefinierade teckenersättnings- eller maskeringsfunktioner. Dessa säkerställer att "problematiska" HTML-metatecken < (t.ex. " och &) ersätts med ofarliga teckenreferenser. Detta förhindrar att skadlig kod aktiveras. Dessutom bör koden användas med hjälp av så kallade saniseringsbibliotek Saneras. För detta ändamål bör en Plugin på servern och inkluderat ytterligare kod i sidans källkod. Följande kodavsnitt läggs till exempel till i de tillåtna attributen:

Så här kan konfigurationskoden du behöver för att utföra koddesanering se ut.
Så här kan koden du behöver för att utföra koddesanering se ut.

Programmeringsfärdigheter behövs för att genomföra detta. En utvecklare eller CTO kan till exempel enkelt implementera det här datautdataskyddet.

En hälsosam nivå av skepsis: hur användarna skyddar sig själva

Men inte bara webbplatsoperatörer, men också sidbesökare påverkas av XSS-attacker. Många XSS-attacker kan förhindras genom kritisk och noggrann hantering av "utländska" länkar. Användarna har till exempel möjlighet att NoScript-tillägg att använda. Dessa förhindrar körning av skript, dvs skadliga rader kod som stjäl data, till exempel.

Om du vill vara på den säkra sidan kan du också förhindra skript på klientsidan genom att helt enkelt inaktivera JavaScript-stöd i webbläsaren. Eftersom är detta så kallade Aktiva skript inaktiverar, vissa typer av XSS-attacker har inte längre en chans eftersom skadliga program inte startas i första hand. Men de flesta moderna webbplatser inte längre "fungerar" ordentligt - eller i värsta fall inte längre fungerar alls. I detta fall är det därför nödvändigt att väga upp säkerhets- och användbarhetsaspekterna.

Så här kan du inaktivera JavaScript med ett klick i webbläsarinställningarna i Chrome.
Så här kan du inaktivera JavaScript med ett klick i webbläsarinställningarna i Chrome.

Slutsats: XSS-attacker är ibland mycket komplexa, men skyddet är ibland ganska enkelt

XSS utgör ett hot mot dig som webbplatsoperatör samt för dina besökare och kunder. Gång på gång, svagheter i Plugins Eller Themes Kända. När det till exempel gäller Plugin WP Statistik, med mer än 400 000 aktiva installationer, eller med WooCommerce och Jetpack, med mer än tre miljoner aktiva installationer vardera.

Om du vill Plugins Och Themes och med hjälp av en WAF, men du har redan tagit ett stort steg i rätt riktning. Om du också använder vitlistor för inkommande och utgående kod har du redan säkrat sidan på ett utmärkt sätt. De två sista åtgärderna är dock inte lätt genomförbara utan att ge kännedom om programmeringen.

Jämfört med den ganska primitiva Brute Force Attacker Tyvärr är de mer komplexa XSS-attackerna fortfarande relativt framgångsrika. Det finns dock betydligt färre av dessa så kallade komplexa attackerän det finns Brute Force Attacker på WordPress Sidor Är. Du bör dock göra det så svårt som möjligt för angripare. Eftersom en framgångsrik hacka inte bara kostar tid och pengar för att ta bort skript, men kan också äventyra din position i sökmotorer.

Kanske har du haft erfarenhet av XSS-attacker? Vad gör du för att skydda dig från det här?

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.