*    Установка Windows XP Mode на Windows 7 Basic и Premium - 2010-05-01 09:56:33    *    Демонстрация прототипов устройств с USB 3.0 - 2008-11-21 11:49:49    *    Microsoft официально анонсировала Windows Azure - 2008-10-28 08:18:19    *    Тестеры получили первый билд Vista SP2 - 2008-10-28 08:14:07    *    NVIDIA Hybrid SLI: теперь и для платформы Intel - 2008-10-16 10:54:38    *    Быстрая DDR3-память опасна для процессоров Intel - 2008-10-05 08:01:03    *    Руководство по включению PhysX на ноутбуках с GPU NVIDIA - 2008-09-02 12:08:00    *    Ежедневно десять миллионов зомби распространяют спам и вредоносные коды - 2008-08-25 09:38:09    **

             Обратная связь | Внести в избранное | Сделать домашней

Поиск по сайту



Вход
Имя

Пароль

Ещё не зарегистрировались?
Вы можете это сделать ЗДЕСЬ.

Содержание
 Главная

 Навигация
 Статьи
 Форум
 Файлы
 Ссылки
 Ваш Профайл
 Связь с автором
 Мировые новости
 Экзамены MCSE
 Обзор фильмов
 Самое популярное
 Фотогалерея
 Куплю-Продам
 Статьи
 Форум

 Профессиональное обслуживание компьютеров и сетей в России и в Израиле

 Учебники on-line
 Flash MX
 ISA Server
 Office XP
 PhotoShop 7
 Linux Red Hat
 Visual Basic. NET
 Visual Studio.NET
 Citrix Metaframe
 Citrix MetaFrame XP
 ВСЕ КНИГИ

Наполнение сайта
 Добавить файл
 Добавить статью
 Добавить ссылку

 Статьи по разделам
 MCSE 2000
 MCSE 2003
 Операционные Системы
 Новости Microsoft
 Безопасность
 Software
 Hardware
 Новости Интернета
 MCSE 2000 за 15 минут
 MCSE 2003 за 15 минут
 CISCO Systems


Реклама


Будьте с нами!
Кнопка на Ваш сайт

Скорая помощь для Ваших компьютеров и сетей!

Сделать стартовой
Связаться с автором


Реклама


Реклама

  


Изучаем безопасность: Межсайтовый скриптинг как скрытая Интернет-угроза





Опубликовал leonid_y Friday, July 25


Раздел: Безопасность

В сфере компьютерной безопасности часто возникают такие моменты, когда пользователь не может самостоятельно позаботиться о своей защите. К ним можно отнести такие угрозы, которые представляют собой всевозможные уязвимости программного обеспечения, а также ошибки в работе DNS-серверов, в результате которых невинная жертва либо атакуется через порты, открытые уязвимой программой, либо попадает на захваченные сайты, распространяющие различные эксплойты и крадущие данные пользователя посредством фишинговых схем.



От подобных видов угроз едва ли существует защита со стороны самого пользователя – чтобы бороться с ними, нужен вклад других лиц и организаций – разработчиков ПО, которые должны не допускать критических ошибок, влияющие на безопасность системы, а также регулирующих органов, которые обязаны создавать менее уязвимую к подобным инцидентам Интернет-инфраструктуру. По крайней мере, все участники должны обеспечивать максимально быструю возможность устранения проблем безопасности.

Такой же принцип относится и к атакам посредством межсайтового скриптинга – компрометация пользовательских данных не может быть предотвращена действиями одного лишь этого пользователя, а должна находиться в юрисдикции разработчиков веб-приложений и Интернет-браузеров.

По причине недостижимости такой защиты в настоящий момент, пользователю стоит обратить пристальное внимание на влияние уязвимостей межсайтового скриптинга и постараться минимизировать их влияние в определенных ситуациях. Эта задача и есть главным направлением данной статьи.

Что такое межсайтовый скриптинг

Скрипт – это набор команд, написанных на языке программирования, который исполняется на стороне пользователя или удаленном веб сервере. Уязвимости межсайтового скриптинга, или XSS (от англ. Сross Site Sсriрting) возникают в тех случаях, когда скрипт (обычно зловредный), находящийся на одном сайте, получает возможность взаимодействия с содержимым, размещенным на другом сайте или локальной HTML-странице, отсюда и термин – «межсайтовый». В отличие от других типов атак, злоумышленники используют сервера, уязвимые к XSS, как посредника для осуществления атак на посетителей пораженных сайтов, заставляя браузеры будущих жертв исполнять скрипты, заранее помещенные на них злоумышленниками.

Первые упоминания об уязвимостях XSS начали появляться в начале 21 века, когда некоторые эксперты безопасности отмечали свою обеспокоенность возможным использованием кода JavaScript со злонамеренными целями при атаке смежных серверов.

При XSS атаке, после того как зловредный скрипт был запущен на стороне пользователя, он начинает работать и посылать команды на удаленный ресурс, контролируя окно браузера таким образом, что со стороны кажется, что сам пользователь управляет окном и осуществляет спланированные действия. Скрипт может быть запущен локально на пользовательском компьютере, либо находиться в неактивном состоянии на веб-сервере до тех пор, пока пользователи не начнут обращаться к пораженной веб-странице. Как только они это сделают, скрипт активируется на машине пользователя и начнет совершать враждебные действия.

Проблема XSS настолько значима по причине того, что в результате успешной эксплуатации скрипт забирает управление пользовательской сессией на себя, в то время как атака остается невидимой и проходит «в тени», не оставляя следов и делая такой вид вторжений крайне сложным для выявления.

Для успешного проведения XSS атаки требуется соответствие нескольким критериям: использование слабо защищенного браузера, который не сопоставляет происхождение скрипта с его полномочиями, а также неряшливо написанный веб-код, который осуществляет недостаточную проверку вводимых пользователем данных. Чтобы заставить потенциальную жертву перейти по ссылке, содержащей зловредный код, часто используются приемы социального инжиниринга.

Для того чтобы лучше представить масштабы проблемы, связанной с эксплуатацией XSS, можно привести несколько говорящих цифр: по разным оценкам, не менее половины всех веб-сайтов имеют дыры для XSS атак, при том как уязвимость XSS-типа составляет по меньшей мере 80 процентов от всех документированных веб-уязвимостей. Почти каждый веб-портал когда-либо в своей истории становился жертвой XSS; и такие гранды, как Google, MSN и Facebook ощутили влияние XSS уязвимостей на своем собственном опыте. Уже спал ажиотаж от обнаружения XSS-уязвимостей сервиса «Одноклассники.ру» в конце 2007 года, а летом 2008 года такие уязвимости и проэксплуатировали в сервисах (в июне – в сервисе «Приложения») и (атака на сервис доступа к популярным социальным сетям произошла 21 июля).

Виды XSS

На текущий момент различается три вида XSS уязвимостей:

  • Локальная, или XSS нулевого типа, когда проблема возникает в клиентской части скрипта на веб-странице. Для эксплуатации такой уязвимости, атакующий создает веб-страницу с вредоносным JavaScript-кодом внутри и посылает будущей жертве ссылку на нее (используя разные способы, включая e-mail, чат, форум и т.д.). После того, как пользователь переходит по заданной ссылке, выполняется удаленный скрипт, который создает на компьютере пользователя уязвимую HTML-страницу, содержащую JavaScript-код. Этот код будет выполнятся с правами текущего пользователя (в основном все пользователи зарегистрированы как Администраторы). После проведения всех этих действий, атакующий получает доступ на локальный компьютер жертвы и имеет возможность просматривать файлы и получать другую значимую информацию.
  • Неустойчивый, или XSS первого типа. Этот вид уязвимости является самым распространенным из трех и затрагивает уязвимости работы серверных скриптов, которые в недостаточной мере проверяют отсылаемую клиентом информацию. XSS первого типа возникают, когда пользователь получает ссылку на зловредный скрипт, будучи уже «залогиненным» на определенный веб-сайт. После того, как ссылка активируется и скрипт запускается, он забирает контроль над текущей веб-сессией на себя и скрытно управляет действиями активной веб-страницы. Такой вид вторжения может иметь место только в текущей пользовательской сессии.
  • Устойчивый тип, или, XSS второго типа – является самой нарочитой и опасной уязвимостью, поскольку может затронуть сразу большое число пользователей без особого применения приемов социального инжиниринга. Как и во втором случае, уязвимость существует на стороне серверных скриптов, но присутствует на них на протяжении длительного времени, обеспечивая таким образом более мощный поражающий эффект. Уязвимость возникает, когда легитимный сервер содержит на своих ресурсах фрагменты зловредных скриптов, помещенных на него злоумышленником, а потом отдает такие объекты на исполнение клиентским браузерам.

Каковы цели злоумышленников?

Большинство атак c использованием XSS нацелено на сессионные файлы cookies пользователя – файлы, закачиваемые на компьютеры пользователей веб-сайтами, которые они посещают. Cookies – простой механизм идентификации на сайте, так что как только злоумышленникам удается ими завладеть, они могут «притвориться» вами и совершать действия от вашего имени. Cookies передаются атакующим посредством команд, содержащихся внутри зловредного скрипта.

Чего можно лишиться в результате атаки

В результате успешной эксплуатации XSS жертвы могут лишиться важных данных или подвергнуться «краже личности». Как только ваша сессия похищается, «хозяева скрипта» могут вести любую активность, на которую способен истинный хозяин захваченного аккаунта – читать и удалять веб-почту, совершать финансовые и кредитные операции, создавать посты в социальных сетях – все, что угодно.

Причины возникновения XSS-атак

XSS-атаки возможны по двум основным причинам – неряшливое, безответственное написание кода для наспех создаваемых движков сайтов, в результате чего не происходит верификации вводимых посетителями данных. Это позволяет хакеру вставлять фрагменты исполняемого кода в поля (например, в поле поиска содержимого на сайте) – сервер вернет результаты поиска наряду с точным текстом изначального запроса, который может быть интерпретирован клиентским ПО как исполняемый код и выполнен на стороне пользователя. В этой связи очень важно, чтобы создатели веб-страниц разрабатывали их так, чтобы пользовательский ввод фильтровался на предмет присутствия в нем исполняемого кода, а определенные символы, характеризующие исполняемые команды, переводились в текстовой, неисполняемый формат.

Еще один фактор, играющий на руку злоумышленникам – это использование пользователями устаревших версию браузеров, которые некорректно работают с политиками безопасности при парсинге (обработке) скриптов с двух разных источников, не смешивая их.

Как пользователь может защититься

Несмотря на то, что основная вина за ошибки, приводящие к эксплуатации XSS, лежит на веб-программистах, для простого пользователя Интернет все же существуют пути минимизации подверженности XSS.

Основной момент, на который следует обратить внимание, это запрет исполнения браузером программного кода, находящегося на недоверенных источниках. Пользователи Internet Explorer могут заблокировать исполнение скриптов, подняв «ползунок» уровня безопасности в настройках программы до уровня «высокий», запретив таким образом выполнение какого-либо кода. После проведения таких действий большинство веб-страниц будет отображаться неправильно, и чтобы этого избежать, следует в дальнейшем занести доверенные сайты в список исключений, которым все-таки будет дозволено запускать исполняемые скрипты. Пользователи Firefox могут воспользоваться дополнительно подключаемым модулем под названием , который действует подобно настройкам IE – блокирует любой исполняемый код, при этом разрешая его заданным доверенным сайтам. Полезно также будет поднять уровень защиты личных данных во вкладке «Конфиденциальность» настроек IE , что запретит хранение постоянных cookie-файлов на вашем компьютере.

При посещении сайтов, требующих авторизации (таких, как, скажем, сайт вашего банка, почтовый портал или социальная сеть), не забывайте нажимать кнопку «Выход» и сначала завершите ваш сеанс нахождения на ресурсе, а уже потом путешествуйте по различным ссылкам, присылаемым вам. Выход из текущей сессии очистит временные файлы cookies и сделает заход под вашей учетной записью невозможным.

Также немаловажно, чтобы ваш браузер и операционная система были постоянно обновлены, чтобы известные XSS-атаки на них были безуспешными.

Подводя итоги

XSS-атаки возникают из-за ошибок веб-девелоперов при написании кода страниц – такие страницы не фильтруют вводимые на стороне пользователя данные, в результате чего эти данные могут восприниматься сервером и клиентским ПО как исполняемые. Подобную уязвимость легко предотвратить, если фильтровать потенциально враждебную информацию, которую пользователь отправляет на страницах веб-сайта, и отдавать ответ на запрос в виде простого текста. Пока мы находимся в ожидании чуда, когда все веб-сайты проведут аудит своего кода на предмет выявления и устранения скрытых возможностей эксплуатации XSS, существует несколько несложных приемов, заметно сокращающих подверженность XSS-атакам: выход из текущей сессии перед переходом на другие страницы, отключение исполняемого на стороне браузера JavaScript-кода для неизвестных сайтов, использование последних версий сетевого ПО.

И, конечно же, нельзя пренебрегать общими правилами безопасного поведения в Интернете – не открывать ссылки от незнакомых лиц и не доверять тем, кого вы не знаете.

 

 


Связанные темы

Безопасность


Комментарии к статье
Ваше имя: Неизвестный [ Новый пользователь ]

Тема:

Комментарий:




Дата опубликования - 2010-04-23 12:19:19
Re: Межсайтовый скриптинг как скрытая Интернет-угроза
фактором [odtp.ru] у [bjankafan.ru]
Идея и воплощение: Михаил Дмитриев
Страница оптимирована под разрешение от 1024х768 для IE 5.0+
Copyright © 2001-2008 by Michael Dmitriev - Создание и поддержка сайтов

Сайт работает на домашнем компьютере. OS Windows Server 2003. Находится в Израиле.


Web site engine's code is Copyright © 2003 by . Время создания страницы - 0.185 сек. и 46 запрос (а,ов) к базе данных

Введите URL своего сайта: