Cross-Site Scripting (XSS) napadi
Cross-Site Scripting (XSS) jedan je od najčešćih oblika hakerskih napada na
internetu. XSS napadi češće pogađaju korisnike, npr. njihove browser-e, a
ređe skripte na strani servera. XSS napadi oslanjaju se na manipulaciju
skriptama veb aplikacije koje se izvršavaju na način na koji to želi neko
ko je zlonameran. Takva manipulacija može biti postavljanje skripte na
strani koja se potom izvršava svaki put kada se stranica učitava.
XSS je danas najčešća ranjivost u bezbednosti softvera iako to ne bi
trebalo da bude tako s obzirom da je XSS lako otkriti i popraviti. XSS
ranjivosti mogu za posledicu imati manipulaciju podacima kao i njihovu
krađu.
Ključne odlike XSS napada
XSS napadi se odvijaju na ranjivim veb aplikacijama
U XSS napadima žrtva je korisnik a ne aplikacija
U XSS napadima zlonamerni sadržaj isporučuje se korisnicima pomoću
JavaScript-a
XSS ranjivost nastaje kada veb aplikacije uzmu podatke od korisnika i
dinamički ih uključuju u veb stranice bez prethodne valjane provere
podataka. XSS ranjivosti omogućavaju napadaču da izvršava proizvoljne
komande i prikazuje proizvoljni sadržaj u browser-u napadnutog korisnika.
Uspešan XSS napad dovodi do toga da napadač preuzima kontrolu nad
browser-om ili nalogom za ranjivu veb aplikaciju. Iako je XSS napad
omogućen ranjivostima u veb aplikaciji, žrtve takvih napada su korisnici
aplikacije, a ne aplikacija sama po sebi. Potencijal XSS ranjivosti leži u
činjenici da se zlonamerni kod izvršava u sklopu sesije korisnika,
omogućavajući da napadač zaobiđe normalna zaštitna ograničenja.
Vrste XSS napada
Refleksivni XSS napadi
Ima mnogo načina na koje napadač može da podstakne žrtvu da pokrene ovakav
XSS zahtev. Na primer, napadač može da pošalje email žrtvi sa linkom koji
sadrži zlonamerni JavaScript. Ukoliko korisnik klikne na link, njegov
browser inicira HTTP zahtev i šalje ga ranjivoj veb aplikaciji. Maliciozni
JavaScript se reflektuje u browser-u korisnika gde se izvršava u sklopu
korisnikove sesije.
Perzistentni XSS napadi
Ova vrsta XSS napada oslanja se na veb aplikaciju koja omogućava napadaču
da unese neki podatak, na primer korisničko ime koje se prikazuje na
profilnoj stranici svakog korisnika. Aplikacija čuva svako korisničko ime u
lokalnoj bazi podataka. Napadač, koji uoči da veb aplikacija ne proverava
dobro sadržaj unetog polja, ubacuje maliciozni JavaScript kod u to polje,
recimo kao deo korisničkog imena. Kada drugi korisnici pregledaju
napadačevu profilnu stranicu, zlonamerni kod se automatski izvršava u
sklopu njihove sesije.
Učinak XSS napada
Kada napadači uspešno koriste XSS ranjivosti, oni ostvaruju pristup
poverljivim podacima potrebnim za prijavljivanje na nalog. Oni takođe mogu
distribuirati internet crve ili pristupiti korisnikovom računaru i
pregledati istoriju korisnikovog browser-a ili kontrolisati browser sa
daljine. Nakon ostvarivanja kontrole nad sistemom korisnika, napadači isto
tako mogu analizirati i koristiti druge intranet aplikacije.
Iskorišćavanjem XSS ranjivosti, napadači mogu izvoditi zlonamerne i opasne
aktivnosti, kao što su:
Preotimanje naloga
Širenje internet crva
Pristup istoriji browser-a i sačuvanog sadržaja
Kontrola browser-a sa daljine
Pregled i iskorišćavanje intranet uređaja i aplikacija
__________
Podaci o listi:
1. Web strana: http://www.slikom.info/ml/sl.html
2. Adresa za prijavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati: subscribe
3. Adresa za odjavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati:
unsubscribe
4. Facebook: http://www.facebook.com/web.portal.slikom
5. Twitter: https://www.twitter.com/slikom
6. Adresa moderatora: SliKom-Moderators@xxxxxxxxxxxxx
__________
