(Ne)nevarni XSS napadi

denial

9. mar 2007 ob 13:16:38

O XSS (Cross-site Scripting) napadih je bilo že veliko povedanega. Še vedno pa jih ogromno uporabnikov in skrbnikov jemlje kakor nenevarne ali pa jih preprosto ignorira. Tovrstne pomankljivosti omogočajo vstavljanje poljubne skriptne kode, masovno se uporabljajo pri izvajanju phishing napadov, kraji piškotkov in ostalih oblikah spletnih prevar. Spretno izvedeni XSS napadi pa se lahko uporabljajo tudi za manipulacijo z informacijami v obliki vstavljanja neavtoriziranih novic v spletne portale medijskih družb. Tudi slovenski spletni prostor ni imun na tovrstne napade...


Spletne strani v nobenem primeru niso bile razobličene, tudi podatki na strežnikih niso bili kompromitirani ali kako drugače modificirani. XSS napadi so namreč tim. <i>client-side</i> ranljivost in omogočajo zgolj spremembo izpisa v uporabnikovem brskalniku, oziroma spremembo prikaza spletne strani pri uporabniku. Obe vpleteni strani sta bili seveda obveščeni o odkritju vrzeli. Pri časopisni hiši DELO so se profesionalno in odgovorno odzvali ter pomankljivost nemudoma odpravili.

Obramba pred XSS napadi je preprosta: filtriranje ali preverjanje vnosnih parametrov. Primarna tarča napadov, torej uporabniki, pa se lahko uspešno zaščitijo z onemogočanjem JavaScript/ActiveScripting ali z uporabo ustreznih vtičnikov, npr. NoScript.