Hva er Cross Site Scripting?

Skadelige XSS-skript kan brukes til å stjele personlig informasjon. Ofte brukes programvaren til å overvåke innloggingsfelt og kan dermed brukes til å stjele innloggingsdetaljer samt tilhørende informasjonskapsler (cookies).

Hvorfor kalles det Cross Site Scripting?

Et XSS-angrep gjennomføres ved at et ondsinnet skript fra en angripende nettside overføres til en nøytral, intetanende nettside. Det opprettes med andre ord en «krysskobling» mellom de to nettsidene som tillater en hacker å manipulere den infiserte nettsiden.

Det opprinnelige uttrykket refererte tidligere kun til JavaScript-basert kode, men i senere tiår har XSS-angrep blitt registrert også ved bruk av ActiveX, Flash, HTML og andre.

Typer XSS-angrep

1. Reflektert XXS. Dette er den vanligste typen. Som navnet tilsier, fungerer denne typen angrep ved å «reflektere» brukernes forespørsler vekk fra serveren. Brukeren vil typisk sett få opp en feilmelding hvor brukeren blir bedt om å klikke på et nettsideelement for å fortsette. Lenken eller knappen fører til en HTML-respons som kjører i gang det skadelige skriptet. All info som deretter mates inn på den kompromittere nettsiden vil havne i hackerens hender.

2. Vedvarende XSS. Også kjent som «Lagret XSS». Denne betegnelsen omfatter situasjoner hvor selve applikasjonen eller nettsiden er infisert med ondartet kode. I dette scenariet fungerer ulike HTML-elementer på selve nettsiden som aktiveringsknapper. Eksempelvis kan det skadelige skriptet ligge på lur i nettsidens kommentarfelt, hvor det trår i aksjon så snart feltet klikkes på. Med introduksjonen av HTML5 er det tenkelig at denne typen angrep kan utføres ved hjelp av elementer lagret på brukerens datamaskin, noe som vil gjøre det vanskeligere å oppdage uregelmessigheter.

3. DOM-basert XSS. DOM står for Document Object Model og er et programmeringsgrensesnitt for HTML og XML. DOM er en alternativ representasjon av nettsiden som lar brukeren se innhold på nettsider uten å måtte kommunisere direkte med HTML-kilden (serveren). I motsetning til andre typer XSS befinner ikke det skadelige DOM-skriptet seg i kompromitterte HTML-responser, men opererer direkte i brukerens nettleser.

DOM-basert XSS kan utløses uten at HTML-responser modifiseres, noe som gjør det svært vanskelig å oppdage mistenkelige endringer. For å oppdage denne typer angrep er det nødvendig å være kjent med nettsidens kode for å oppdage uregelmessigheter. De færreste av oss besitter nok kunnskap eller tid til å kjemme gjennom nettsiders HTML-kode for å finne malplasserte kodesnutter, noe som gjør DOM-basert XSS ekstra forbrytersk.

Potensielle konsekvenser av XSS-angrep

Hva skjer om man faller offer for et Cross-Site Scripting-angrep? Konsekvensene strekker seg fra milde datalekkasjer til ødeleggende finansielle kostnader. Under beskrives noen scenarier som kan opptrå:

• Tyveri av informasjonskapsler

Idet du besøker en nettside, vil informasjonskapsler – såkalte cookies – sette i gang med å lagre diverse info. Dette er en tjeneste som er designet for å forbedre brukeropplevelsen – neste gang brukeren besøker nettsiden vil innloggingsdetaljer være ferdig utfylt og nettsideelementer allerede lastet inn. Dette sparer tid og hodebry, men medaljen har en bakside: Informasjonen inneholdt i informasjonskapslene kan gi hackere tilgang til kontoer eller til personlig informasjon til bruk i utpressing. Et XSS-angrep utført på en nettside med innebygde skript kan føre til adgang til data inneholdt i informasjonskapsler.

• Nettfiskesvindel

Et ondsinnet XSS-skript kan videreføre brukeren til en falsk nettside som imiterer den legitime siden brukeren prøver å komme inn på. Metoden har mye til felles med klassisk phishing-svindel. Hvis brukeren lar seg lure, og logger seg inn som vanlig, blir den informasjonen kopiert av hackerne og kan brukes til å logge seg inn på den opprinnelige nettsiden. Skademulighetene er mange så snart hackerne er inne og kan etterligne brukeren. De kan for eksempel handle på nettet med brukerens kredittkort, få tak i sensitiv informasjon som de kan selge videre, eller kontakte tredjepersoner for å få tak i forretningshemmeligheter.

• Tukling med nettsider

Et Cross-Site-Scriping-angrep kan ha ødeleggende følger for en nettside, samt nettsider koblet opp mot den opprinnelige nettsiden – «nullpasienten». For det første kan skriptet påvirke nettsidens daglige virke ved å kludre opp koderammeverket. For det andre vil nettsiden og nettsideeierens rykte påvirkes så snart XSS-aktivitet oppdages på domenet. Dette kan i mange tilfeller negativt påvirke besøkertall eller styrte nettsiden fullstendig idet ingen tør eller kan besøke den. Avhengig av nettsidens popularitet kan dette forårsake enorme finansielle tap.

Hvordan beskytter jeg meg mot XSS-angrep?

Dessverre er det vanskelig å forsvare seg mot XSS-angrep. Som vi har sett finnes det sofistikerte metoder som lar denne typen malware-angrep utløses direkte i nettleseren uten å først måtte installeres på selve enheten du bruker. Noen typer kan utløses uten en gang å måtte kommunisere informasjon mellom klient og server, noe som gjør oppdagelse av mistenkelige elementer enda vanskeligere.

Det viktigste våpenet for å forhindre XSS-angrep er å utdanne seg i hvordan disse truslene fungerer. Du kan til en viss grad trene deg opp til å oppdage mistenkelige indikatorer på at ondsinnet kode har infisert et nettsideelement du er i ferd med å bruke. Her følger noen gode tips til tiltak du kan fatte for å redusere risiko.

• Venn deg til å holde et øye med URL-adresser. Hvis noe virker malplassert vær varsom med hvordan du omgås nettsiden i fremtiden. Rapporter om mulige om uregelmessigheter til nettsideeieren eller IT-støtte.
• For de som er mer velverserte med koding eller webdesign kan det lønne seg å dykke inn i bak kulissene og sjekke koden bak nettsiden du bruker. På denne måten kan du oppdage mistenkelige kodesnutter før de aktiveres.
• Chrome, Safari, Internet Explorer eller andre sikre nettlesere har innebygde sikkerhetsfunksjoner som kan hjelpe til med å oppdage reflektert XSS eller andre mer primitive former for XSS-angrep hvor uregelmessige HTML-signaturer kan oppdages. Eldre nettlesere kan mangle slike funksjoner.
• NordVPN sin Trusselbeskyttelse-funksjon gir et ekstra lag med beskyttelse når du surfer på nett. Denne funksjonen er inkludert gratis i din NordVPN løsning og er en utmerket måte å styrke sikkerhet og privatliv på. Trusselbeskyttelse skjermer deg mot påtrengende reklame ved hjelp av annonseblokkering, beskytter deg mot malware og skadelige nettsider, og blokkerer sporingsinformasjonskapsler som gjør det mulig å surfe på nett uten å etterlate spor. Det beste er at du kan benytte Threat Protection uten at du trenger våre tilkoblet en VPN server. Oppnå en bedre surfeopplevelse på nett ved å laste ned en online VPN-tjeneste i dag.

Rask, privat og sikker surfing er kun ett klikk unna.

Tiltak for IT-sjefer:

• Opprett omfattende, flerlagssikkerhetstiltak på endepunktet. Sjekk programmerer- og brukergrensesnitt regelmessig for mistenkelige elementer.
• Vær på utkikk etter, og blokker straks eposter og e-postavsendere som viderefører til mistenkelige nettsider.
• Blokker straks tilgang til mistenkelige nettsider fra selskapets nettverk.
• Vær streng på å forby tredjepartsenheter- og programvare i bruk på selskapets enheter. Begrens bruk av minnepinner og lignende fullstendig.

Tiltak for WEB-skapere/administratorer:

• Hold alltid servere og applikasjoner oppdaterte til siste versjon.
• Opprett web-applikasjoner designet for å oppdage XSS-aktivitet.
• Introduser en WAF med filteringsfunksjon som støtter kryss-skripting mellom nettsider.