Неочевидные угрозы: как защититься от атак на десериализацию, XSS и чтение произвольных файлов Хабр

July 21, 2023 by admin

Финальным штрихом будет регулярное сканирование на уязвимости с помощью качественного инструмента DAST. Не xss атака существует решения, которое бы полностью защитило приложения от XSS. Но, если придерживаться нескольких безопасных практик для создания нескольких уровней защиты, можно сделать успешные XSS-атаки крайне маловероятными. Такая уязвимость направлена на большое количество пользователей, потому что распространяется она, ну скажем, естественным способом, скрипт запустится у всех, кто посетит страницу. В отличии от «отраженного» XSS, для распространения которого часто нужно применять социальную инженерию. Тестировать сайты на наличие уязвимостей можно вручную или с помощью специальных программ.

Опасности XSS атак

Методы обхода защитных средств веб-приложений при эксплуатации XSS-векторов

Вы можете сохранить приложение в файле xss3.go и запустить его командой go run xss3.go. Браузер воспринимает любой код, который мы передаем и обрабатываем на веб-сервере, как набор html-форм JavaScript и CSS. При внедрении XSS в ваш ресурс браузер начинает обрабатывать его как легитимный код, который необходимо выполнить. Цель любого девопса и специалиста по кибербезопасности — минимизировать риск выполнения произвольного кода, который передается в формы на ваших сайтах, порталах и ресурсах. DOM-Based уязвимость – специфика данной уязвимости заключается в манипуляции Document Object Model (DOM) на клиентской стороне. Здесь вредоносный код внедряется и исполняется в контексте браузера, что делает защиту от таких атак особенно сложной задачей для разработчиков и тестировщиков.

Щит и меч: как защититься от XSS

Так же это может быть и прибыльной историей, потому что крупные компании часто платят хорошие деньги за найденные в их приложениях уязвимости. Но не стоит сразу начинать бегать по всем сайтам и пытаться закинуть пэйлоад во все возможные инпуты, в надежде, что сработает, и вы сможете стрясти с владельцев кучу денег. Для начала выясните, участвует ли эта компания в какой либо программе по поиску уязвимостей. Ведь если нет, то поиск уязвимостей у этой компании будет считаться преступлением, даже если вы действовали в благих целях. Возможно, вы даже сможете найти уязвимость на своем проекте и попинать разработчика, который её допустил, а также получить классов от руководства. Главное средство защиты от скриптинга с точки зрения пользователя – это постоянная внимательность к ссылкам, поскольку столкнуться с ним можно даже на самом популярном и доверенном ресурсе.

Межсайтовый скриптинг — что это такое?

Это производится методом включения дополнительных полей в скрипт или внедрения и переопределения переменных вашей страницы. Так же для нас могут представлять опасность не только скрипты, вшитые непосредственно в тело файла, но и их метаданные. Если нам в приложении нужно отобразить, например, название загруженного файла, то это тоже может стать проблемой, так как в название файла тоже можно добавить скрипт. Один из важнейших навыков для защиты от XSS атак — умение определить потенциальные источники уязвимостей. Это поможет вам не только найти уже существующие дыры в безопасности, но и предотвратить появление новых в процессе разработки.

Эти API не могутвыдавать запросы к любому источнику, они могут только читать ответ на запросыот того же источника. Отраженные XSS появляются, когда веб-приложение получает от пользователя данные, а в ответ выводит их небезопасным образом. Это может привести к тому, что злоумышленник передаст в браузер код, который будет немедленно исполнен. Теперь, когда пользователь с таким модифицированным cookie посетит сайт, уязвимый сервер десериализует вредоносный объект, в результате чего выполнится произвольный код. В приведенном примере запустится back connect shell — уязвимый сервер подключится к серверу злоумышленника и предоставит ему доступ к консоли shell.

Это делает интернет безопаснее как для разработчиков, так и для пользователей. 🌐 Умение защищаться от таких атак – это как научиться правильно закрывать дверь на все замки. С точки зрения разработки необходимо всегда контролировать формы, которые заполняют пользователи, полностью экранировать их, осуществлять парсинг и анализ всего, что вводится пользователями в формы. Еще один механизм по борьбе с XSS, который используют девопсы и инженеры по кибербезопасности — это WAF, web application firewall.

Ниже можно увидетьпростое веб-приложение на Go, которое отражает свой ввод (даже еслиэто вредоносный скрипт) обратно пользователю. Вы можете использовать этоприложение, сохранив его в файле xss1.go и запустив go run xss1.go. Это отдельная разновидность уязвимостей, используемых в сочетании с XSS. Их целью является завлечение авторизованного пользователя с неуязвимого сайта на подставную уязвимую страницу для проведения обманных операций.

Некоторые фреймворки javascript имеют встроенные защитные механизмы от этих и других типов атак, например, AngularJS[17]. Практически все веб-приложения имеют потенциальные уязвимости и слабые места. Даже если разработчики направляют максимум усилий на обеспечение безопасности ПО, часть проблем может остаться необнаруженной. Например, в OWASP (рейтинге основных угроз для веб-приложений) на одной из первых позиций — уязвимость Cross site scripting.

Опасности XSS атак

XSS-уязвимость — это брешь в защите сайта или веб-приложения, через которую злоумышленник может внедрить вредоносный код. Изначально основным языком, на котором создаются такие скрипты, был JavaScript. Однако теоретически для XSS-атаки можно использовать HTML, Flash и т.д. Но это в идеале, а на практике у веб-приложений и сайтов есть множество уязвимостей. Воспользовавшись ими, злоумышленник может взломать ресурс и внедрить на него вредоносный скрипт.

  • Атаки на основе DOM отличаются тем,что они происходят исключительно на стороне клиента и включают вредоносный ввод, манипулирующий DOM.
  • Согласно статистике 21% всех уязвимостей, найденных в web‑приложениях, были именно XSS.
  • Браузер воспринимает любой код, который мы передаем и обрабатываем на веб-сервере, как набор html-форм JavaScript и CSS.
  • Важно, чтобы ваш сайт корректно обрабатывал ввод пользователя, экранируя специальные символы.
  • Через них целые группы пользователей получают уязвимые XSS ссылки с интегрированными скриптами, рассылающими по сетям спам от их имени.
  • Это может включать в себя кражу ваших данных, например, паролей или банковской информации.

А вот устранение XSS часто становится сложным заданием, поскольку требует глубокого понимания контекстов и способов вывода информации в браузер. Благодаря XSS-уязвимости выполняется переадресация приходящих на них запросов на взламываемый сервер, в результате чего его защита не выдерживает. Все эти типы атак могут быть использованы для компрометации пользовательских данных, таких как сессионные cookie, личная информация, пароли и т.

Кстати, оба этих примера — это stored XSS, то есть вредоносный скрипт сохранён где‑то в недрах приложения и будет запускаться у каждого пользователя, подтянувшего этот кусочек данных. Безопасность веб-приложений напрямую связана с правильной валидацией и фильтрацией вводимых данных. Разработчики должны не только быть осведомлены о потенциальных уязвимостях, но и внедрять эффективные методы защиты, чтобы минимизировать риски успешных атак и обеспечить безопасность своих пользователей. Ранние подходы к предотвращению XSS-атак основывались на удалении тегов в поле формы или параметр URL. С бэкендом, который теперь действует как отдельный поставщик данных для любого количества фронтендов, общающихся с ним через API, невозможно централизованно предотвратить XSS на сервере.

Конечно скрипт не из любого query параметра попадет на страницу и запустится, у нас должна быть ещё и «особая» реализация работы с этим параметром в приложении. В качестве примера хочу привести не самую стандартную ситуацию, но зато это случай из жизни, который демонстрирует, что даже сегодня можно запросто проморгать такую уязвимость. Отражённые атаки, как правило, рассылаются по электронной почте или размещаются на Web-странице.

Нажмите «Режим сканирования» — «Быстрое сканирование обнаруженных ресурсов» — «Начать сканирование».

Это позволяет хакеру использовать доверенный для пользователя сайт в своих целях, от кражи данных до показа рекламы. Отражённая атака, напротив, происходит мгновенно и отражается от веб-сервера к жертве. Злоумышленник отправляет специальный запрос, содержащий вредоносный скрипт. Как только жертва кликает на эту ссылку или выполняет действие в приложении, данные возвращаются с сервера, и скрипт выполняется в контексте его браузера. Эффект практически мгновенный, что делает данный метод весьма популярным. Межсайтовый скриптинг представляет собой одну из наиболее опасных уязвимостей, которая эксплуатирует динамическое содержимое веб-страниц для внедрения вредоносного кода.

При переходе по ссылке с результатом нажмите внизу экрана вкладку html. На вкладке «Код страницы» будет отображаться исходный код, а на вкладке «Информация» — сущность уязвимости и её подробное описание. XSS-уязвимость может привести к потере репутации сайта, краже информации пользователей и наступлению юридической ответственности.

Например, вместо того чтобы напрямую вставлять текст отзыва в HTML, можно использовать функции, которые преобразуют специальные символы в безопасные HTML-сущности. Это предотвратит интерпретацию вредоносного кода браузером как часть страницы. Для самого сервера, на котором размещается «зараженный» ресурс, XSS опасности, как правило, не представляет. Основную угрозу он несет пользовательским данным, которые часто размещаются на страницах сайта или веб-приложения.

POST A COMMENT

Your email address will not be published. Required fields are marked *