Межсайтовый скриптинг (XSS)

Абстрактный

Когда речь идёт о веб-приложениях, количество уязвимостей, которые могут существовать, неоспоримо. Согласно рейтингу OWASP Top Ten 2007, межсайтовый скриптинг (XSS) входит в число наиболее распространённых уязвимостей как из-за лёгкости эксплуатации, так и из-за серьёзного ущерба для уязвимых приложений.

Спустя 14 лет этот тип уязвимости все еще присутствует в рейтинге OWASP Top Ten 2021, составляя категорию A3-Injection.

Как работает «Межсайтовый скриптинг»?

В программировании скрипт — это последовательность инструкций, сообщающих программе, что делать. В случае веб-приложения, если оно не проверяет информацию, отправленную на сервер, вредоносный агент может внедрить пользовательские скрипты, которые изменят поведение веб-сайта. Стоит отметить, что в этой ситуации браузер не может отличить легитимный код от вредоносного.

Тем самым уязвимость XSS отличается от других веб-атак, поскольку она нацелена не непосредственно на скомпрометированное приложение, а на пользователей, которые переходят к уязвимому решению. Внедряя код Javascript на веб-страницу, злоумышленник может обойти политику «Same-Origin», разработанную для разделения различных веб-сайтов, а также получить доступ к файлам cookie, токенам сеансов и другой конфиденциальной информации, хранящейся браузером при использовании веб-сайта.

Что такое JavaScript?

JavaScript — это язык программирования, позволяющий реализовывать сложные элементы на веб-страницах, учитывая, что обычная веб-страница отображает только статический контент. Когда веб-приложение отображает интерактивные карты, 2D/3D-графики, анимацию и другие подобные ресурсы, JavaScript, безусловно, задействован. Используя аналогию с кексом, можно сказать, что это третий слой торта в стандартных веб-технологиях, первые два из которых составляют HTML и CSS.

HTML — это язык разметки, используемый для структурирования и осмысления веб-контента. Он позволяет определять абзацы, заголовки, таблицы контента, а также вставлять изображения и видео на страницу.
CSS — это язык правил стилей, используемый для применения стиля к HTML-контенту. Он определяет цвета фона и шрифты, а также размещает контент в нескольких столбцах.
JavaScript — это язык программирования, позволяющий создавать динамически обновляемый контент, управлять мультимедиа, анимированными изображениями и т. д.

Пример уязвимого кода XSS

<?php $search = $_GET['q']; echo "Результаты по запросу " не найдены. $search; ?>

Изображение выше представляет собой пример фрагмента кода, уязвимого для XSS, если отсутствует проверка параметра, *q полученного через запрос GET.*

Влияние XSS

Перенаправлять пользователей на вредоносные веб-сайты;
Фиксация нажатий клавиш пользователями;
Доступ к истории браузера и содержимому буфера обмена пользователей;
Выполнять эксплойты на базе браузера (например, приводить к сбою браузера);
Получать информацию о cookie-файлах от пользователей;
Украсть токен сеанса входа в систему, что позволит злоумышленнику взаимодействовать с приложением от имени жертвы, не имея ее учетных данных;
Заставить пользователя отправлять контролируемые злоумышленником запросы на сервер;
Изменить содержимое веб-страницы;
Обмануть пользователя, чтобы заставить его раскрыть свой пароль к приложению или другим приложениям;
Заразить жертву другим вредоносным кодом, используя уязвимость браузера, что потенциально может привести к захвату устройства жертвы.

Типы атак

Существует три типа атак с использованием межсайтового скриптинга, и, несмотря на сходство, их масштабы и опасность существенно различаются. Вот они:

Отражённый XSS

Отражённая XSS-атака — самая распространённая и простая из трёх типов XSS. Она проще всего реализуется и легче всего обнаруживается. Фактически, это единственный тип, который можно идентифицировать.

Также известная как неперсистентная атака, она требует, чтобы жертва переходила по вредоносным ссылкам, подготовленным с помощью скрипта злоумышленника. Браузер жертвы отправляет запрос на сервер, который «отражается» жертве через зараженную страницу.

Злоумышленнику не нужно нарушать работу самого приложения, ему достаточно убедить жертву нажать на зараженные ссылки, что делает эту атаку смесью социальной инженерии и удачи.

Очень распространённый пример такого типа атаки — поля поиска на веб-сайтах, где пользователь вводит информацию для поиска, которая отображается на странице. Если приложение не проверяет эти данные корректно, злоумышленник может добавить код Javascript в это поле поиска и выполнить его.

Сохраненный XSS

Хранимый XSS-атак преодолевает ограничение, накладываемое отраженным XSS-атакой, которая должна быть инициирована каждый раз вредоносной ссылкой. Хранимый XSS-атак позволяет злоумышленнику внедрять скрипты в приложение на постоянной основе, заражая каждого пользователя, который к нему обращается. По этой причине он также известен как постоянная XSS-атака.

Представьте, что раздел контактов/комментариев приложения некорректно проверяет сообщения, отправленные пользователями. Если злоумышленник внедрит вредоносный код в эти комментарии, он будет выполнен браузером любого пользователя, заходящего на страницу.

Атаки с использованием сохраненных XSS являются более сложными, чем отраженные, поскольку злоумышленнику необходимо идентифицировать веб-сайт с помощью:

Достаточный трафик, чтобы оправдать атаку;
Уязвимость системы безопасности, которая может быть использована с помощью сохраненных XSS-атак.

Как только идеальный сценарий будет найден, киберпреступник сможет поразить гораздо большее количество жертв. Любой, кто визуализирует заражённый веб-сайт, получит вредоносные скрипты в свой браузер, и при выполнении скрипта символы, составляющие его, не отображаются открытым текстом на скомпилированной странице. Поэтому атаку Stored XSS практически невозможно обнаружить. Нет никаких тревожных признаков, которые могли бы вызвать подозрения.

XSS на основе DOM

DOM-Based (объектная модель документа) консолидируется, когда вредоносный агент изменяет взаимодействие между браузером и веб-сайтами, к которым обращается пользователь, изменяя реакцию жертвы на отправленные данные. В то время как отражённые и сохранённые XSS-атаки воздействуют на HTML на стороне сервера, атаки на основе DOM игнорируют это и фокусируются исключительно на активности браузера.

Как только злоумышленник сможет перехватить процесс, в котором клиентский Javascript отправляет свои данные в веб-приложение, он сможет изменить способ работы приложения в своем браузере.

Как защитить себя (Клиент)

Отключите скрипты на страницах, где они не нужны, или отключите их полностью;
Избегайте перехода по ссылкам из подозрительных электронных писем или сообщений на форумах;
Доступ к веб-сайтам осуществляется путем непосредственного ввода их URL-адресов в адресную строку браузера, а не путем нажатия на сторонние ссылки;
Регулярно обновляйте программное обеспечение, чтобы пользоваться последними исправлениями ошибок и обновлениями безопасности. Регулярное обновление программного обеспечения значительно снизит уязвимости веб-приложений, которые делают их уязвимыми для XSS-атак.
Провести аудит приложений, чтобы определить, какие из них необходимы, а какие используются редко;

Как защитить себя (сервер)

Атаки, связанные с внедрением A03:2021, происходят из-за отсутствия очистки информации, отправляемой на сервер, как при вводе данных пользователем, так и при получении данных с сервера. Существует множество методов проверки входных и выходных данных. OWASP рекомендует использовать библиотеки, обеспечивающие очистку HTML-кода для языков PHP ( http://htmlpurifier.org/) , JavaScript (https://github.com/ecto/bleach) и Python (https://pypi.org/project/bleach/ ) .

Другие методы профилактики:

Никогда не используйте eval() ;
Добавить заголовки безопасности против XSS
- X-XSS-Protection: 1; mode=block Активирует защиту в браузере;
- X-Content-Type-Options: nosniff Предотвращает вставку кода Javascript в атрибуты изображений или элементов;
- Content-Security-Policy: script-src Самый важный из них, который позволяет избежать практически любого потенциального ввода XSS;
Добавьте флаги HttpOnly и Secure в файлы cookie сеанса.