XSS Saldırıları: Kendinizi, Müşterilerinizi ve İşletmenizi Nasıl Koruyabilirsiniz?

Tobias Schüring 23 Ocak 2020 tarihinde güncellendi
5 Dk.
Bu, web sitesi operatörlerinin ve kullanıcıların kendilerini siteler arası komut dosyası saldırılarına karşı korumalarına olanak tanır.
Son güncelleme 23 Ocak 2020

XSS saldırıları özellikle dolambaçlı. Ve özellikle hackerlar arasında popüler. Bir web sitesi operatörü ve kullanıcı olarak sitenizin kaparisine karşı kendinizi nasıl koruyacağınızı size gösteririz.

1599 WordPress - Plugins güvenlik sağlayıcısı, Wordfence 14 ay dan fazla Analiz ve şimdiye kadar en yaygın güvenlik açığı sözde oldu XSS Güvenlik Açıkları. Bulunan boşlukların yaklaşık yüzde 47'si site ler arası komut dosyası yla veya kısaca XSS ile ilgiliydi. Bilgisayar korsanlarının sitenize kötü amaçlı kod enjekte edip neredeyse ele geçirildiği saldırı türüne daha yakından bakmak için yeterli neden. Saldırganlar blogunuzu, mağazanızı veya şirket sayfanızı yasadışı faaliyetleri için bir araç olarak kullanır.

Bu grafik, XSS'nin wordfence en yaygın güvenlik açığı olan Plugins bulunur.
XSS gürültülü wordfence en yaygın olarak güvenlik açığı Plugins bulunur.

XSS güvenlik açıkları, kullanıcı girişi web sunucusuna işaretsiz olarak iletildiğinde (örneğin kişi formları veya yorum alanlarında) tehlikeli hale gelir. Başarılı olduktan sonra, bilgisayar korsanları veri çalabilir, sayfanızı bir botnet'e entegre edebilir veya ziyaretçilerinizin bilgisayarlarına bulaşabilir. Neyse ki, XSS saldırılarına karşı bazı çok basit korumalar vardır.

XSS ziyaretçiler ve site operatörleri için eşit derecede alakalıdır

XSS güvenlik açıklarının WordPress sayfalar site operatörleri ve ziyaretçiler için eşit derecede alakalıdır. Site operatörleri, bilgisayar korsanının alt hedeflerini karşılamak için kullanılır ve sayfa ziyaretçileri genellikle veri çalarak veya kötü amaçlı kod lar yayarak genellikle kurbanlardır.

Prensipolarak, XSS saldırıları kullanıcıların site işlecinin web sunucusuna veri gönderdiği yerde başlar. Bu sinirsel noktalarda, kod enjekte edilir ve kullanıcı girişi kritik bir şekilde kontrol edilmezse, örneğin bir güvenlik duvarı tarafından sayfaya bulaşabilir. Farklı XSS saldırıları Arka plan makalesi konu yla ilgili olarak.

En önemlisi, düzenli WordPress Güncelleştirme

Bilgisayar korsanlarının kötü amaçlı kodu enjekte etmek için kullandıkları güvenlik açıkları, WordPress -Çekirdek, içinde Plugins veya içinde Themes . İşte bu yüzden. düzenli güncellemeler tüm bu bileşenler de çok önemlidir. Çünkü bu güncelleştirmeler şimdiye kadar bulunan güvenlik açıklarını giderir.

Ayrıca, güncelleştirmeler aracılığıyla güvenlik açıklarının düzenli olarak kapatıldığı na ilişkin bir fikir edinmek için ilgili üreticilerin güncelleştirme ayrıntılarını düzenli olarak okumak da mantıklıdır. Bakım ve güvenlik güncellemeleri için WordPress çekirdek, bu bilgiler görüntülenir, örneğin, WordPress blog belgelenmiştir. Bunun en iyi örneği son güvenlik güncelleştirmesidir, WordPress 4.7.5.

Basit XSS saldırılarına karşı güvenlik duvarları ve beyaz listeler

XSS saldırılarına karşı bir diğer basit koruma önlemi sözde Web Uygulama Güvenlik Duvarlarıveya WAF. Bu güvenlik duvarları büyük güvenliğin merkezinde yer alıyor. Plugins ve üreticinin araştırma ekibi tarafından en son güvenlik açıklarıyla beslenir. A WAF daha genel olarak, bir prosedürdür Uygulama üzerinden saldırılardan önce Hypertext Transfer Protokolü (HTTP) korur.

Ancak, bu güvenlik önlemleri de kendi sınırları vardır. Çünkü bazı XSS saldırıları veritabanı üzerinden gerçekleşir. Bu nedenle, kötü amaçlı kod için kullanıcı girişlerini denetlemek XSS saldırılarına karşı mücadelede temel güvenlik önlemlerinden biridir. Örneğin, şüpheli dizeleri üzerinde yorum içeriği taranmış ve gerekirse sıralanmış.

Veri çıktısı da güvence altına alınmalıdır

Düzenli güncelleştirmeler, varolan XSS güvenlik açıklarını, güvenlik duvarlarını ve beyaz badanaları, kötü amaçlı kodu Web sunucusuna ulaşmadan önce filtrelemeye çalışır ve sayfaya bulaştırabilir. Ancak, veri çıktısı da buna göre yedeklenmelidir. PHP, Perl veya JavaScript gibi çoğu programlama ve komut dosyası dili, önceden tanımlanmış karakter değiştirme veya maskeleme işlevlerine sahiptir. Bunlar, "sorunlu" HTML meta karakterlerinin (örn. < > Bu, kötü amaçlı kodun etkinleştirilmesini önler. Ayrıca, kod sözde yardımı ile kullanılmalıdır sanitizasyon kütüphaneleri Temizle. Bu amaçla, bir Plugin sunucuya yüklenmiş ve sayfa kaynak kodunuza ek kod eklenmiştir. Örneğin, aşağıdaki kod parçacığı izin verilen özniteliklere ekler:

Kod sanitization gerçekleştirmek için gereken yapılandırma kodu gibi görünebilir budur.
Kod sanitizasyongerçekleştirmek için gereken kod bu gibi görünebilir.

Bunu uygulamak için programlama becerilerine ihtiyaç vardır. Örneğin, bir geliştirici veya CTO bu veri çıktısı korumasını kolayca uygulayabilir.

Sağlıklı bir şüphecilik düzeyi: kullanıcıların kendilerini nasıl korudukları

Ancak sadece site operatörleri değil, sayfa ziyaretçileri xss saldırılarından da etkilenir. Birçok XSS saldırıları "yabancı" bağlantıların kritik ve dikkatli bir şekilde ele alınmasıyla önlenebilir. Örneğin, kullanıcılar NoScript eklentileri kullanmak için. Bunlar, komut dosyalarının yürütülmesini, yani örneğin veri çalan kötü amaçlı kod satırlarının yürütülmesini engeller.

Güvenli tarafta olmak istiyorsanız, tarayıcıdaki JavaScript desteğini kapatarak istemci tarafındaki site ler arası komut dosyası düzenlemeyi de önleyebilirsiniz. Çünkü bu sözde Etkin Komut Dosyası kötü amaçlı uygulamalar ilk etapta başlatılmadı, çünkü xss saldırıları nın belirli türleri artık bir şans var. Ancak, en modern web siteleri artık düzgün "iş" - ya da, en kötü ihtimalle, artık hiç işlev. Bu durumda, bu nedenle, güvenlik ve kullanılabilirlik yönlerini tartmak için gereklidir.

Bu şekilde Chrome tarayıcı ayarlarına tek bir tıklamayla JavaScript'i devre dışı kullanabilirsiniz.
Bu şekilde Chrome tarayıcı ayarlarına tek bir tıklamayla JavaScript'i devre dışı kullanabilirsiniz.

Sonuç: XSS saldırıları bazen çok karmaşıktır, ancak koruma bazen oldukça basittir

XSS, bir web sitesi operatörü olarak olduğu kadar ziyaretçileriniz ve müşterileriniz için de bir tehdit oluşturmaktadır. Zaman ve tekrar, zayıflıkları Plugins Veya Themes Bilinen. Örneğin, söz konusu Plugin WP İstatistikleri, 400.000'den fazla aktif kurulumla veya WooCommerce ve Jetpack, her biri üç milyondan fazla aktif kurulumla.

İstersen Plugins Ve Themes ve bir WAF kullanarak, ama zaten doğru yönde büyük bir adım atmış. Gelen ve giden kodlar için beyaz listeler de kullanıyorsanız, sayfanızı zaten mükemmel bir şekilde emniyete almışsınız. Ancak, son iki önlem programlama bilgisi olmadan kolayca mümkün değildir.

Oldukça ilkel ile karşılaştırıldığında Brute Force Saldırı ne yazık ki, daha karmaşık XSS saldırıları hala nispeten başarılı. Ancak, bu sözde karmaşık saldırılardanönemli ölçüde daha az Brute Force Saldırılar WordPress Sayfa Vardır. Ancak, saldırganlar için mümkün olduğunca zor hale getirmelisiniz. Başarılı bir hack sadece komut kaldırmak için zaman ve para maliyeti, ama aynı zamanda arama motorlarında konumunuza tehlikeye çünkü.

Belki XSS saldırıları ile deneyim yaşadım? Kendini bundan korumak için ne yapıyorsun?

Bir sistem yöneticisi olarak, Tobias altyapımızı izler ve sunucularımızın performansını optimize etmek için her türlü ayarlama vidasını bulur. Yorulmak bilmeyen çabaları nedeniyle, o sık sık da Slack bulunabilir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.