Cross-Site Scripting (ofte forkortet XSS) er en forbrytersk type Malware som kan omforme tilsynelatende harmløse nettsider til lumske cyberfeller. En hacker kan kapre en trygg nettside ved å injisere et skadelig skript i selve koden som nettsiden kjører på. På denne måten kan enhver besøker på nettsiden bli et potensielt offer.
Laura Klusaitė
Skadelige XSS-skript kan brukes til å stjele personlig informasjon. Ofte brukes programvaren til å overvåke innloggingsfelt og kan dermed brukes til å stjele innloggingsdetaljer samt tilhørende informasjonskapsler (cookies).
Et XSS-angrep gjennomføres ved at et ondsinnet skript fra en angripende nettside overføres til en nøytral, intetanende nettside. Det opprettes med andre ord en «krysskobling» mellom de to nettsidene som tillater en hacker å manipulere den infiserte nettsiden.
Det opprinnelige uttrykket refererte tidligere kun til JavaScript-basert kode, men i senere tiår har XSS-angrep blitt registrert også ved bruk av ActiveX, Flash, HTML og andre.
DOM-basert XSS kan utløses uten at HTML-responser modifiseres, noe som gjør det svært vanskelig å oppdage mistenkelige endringer. For å oppdage denne typer angrep er det nødvendig å være kjent med nettsidens kode for å oppdage uregelmessigheter. De færreste av oss besitter nok kunnskap eller tid til å kjemme gjennom nettsiders HTML-kode for å finne malplasserte kodesnutter, noe som gjør DOM-basert XSS ekstra forbrytersk.
Hva skjer om man faller offer for et Cross-Site Scripting-angrep? Konsekvensene strekker seg fra milde datalekkasjer til ødeleggende finansielle kostnader. Under beskrives noen scenarier som kan opptrå:
Idet du besøker en nettside, vil informasjonskapsler – såkalte cookies – sette i gang med å lagre diverse info. Dette er en tjeneste som er designet for å forbedre brukeropplevelsen – neste gang brukeren besøker nettsiden vil innloggingsdetaljer være ferdig utfylt og nettsideelementer allerede lastet inn. Dette sparer tid og hodebry, men medaljen har en bakside: Informasjonen inneholdt i informasjonskapslene kan gi hackere tilgang til kontoer eller til personlig informasjon til bruk i utpressing. Et XSS-angrep utført på en nettside med innebygde skript kan føre til adgang til data inneholdt i informasjonskapsler.
Et ondsinnet XSS-skript kan videreføre brukeren til en falsk nettside som imiterer den legitime siden brukeren prøver å komme inn på. Metoden har mye til felles med klassisk phishing-svindel. Hvis brukeren lar seg lure, og logger seg inn som vanlig, blir den informasjonen kopiert av hackerne og kan brukes til å logge seg inn på den opprinnelige nettsiden. Skademulighetene er mange så snart hackerne er inne og kan etterligne brukeren. De kan for eksempel handle på nettet med brukerens kredittkort, få tak i sensitiv informasjon som de kan selge videre, eller kontakte tredjepersoner for å få tak i forretningshemmeligheter.
Et Cross-Site-Scriping-angrep kan ha ødeleggende følger for en nettside, samt nettsider koblet opp mot den opprinnelige nettsiden – «nullpasienten». For det første kan skriptet påvirke nettsidens daglige virke ved å kludre opp koderammeverket. For det andre vil nettsiden og nettsideeierens rykte påvirkes så snart XSS-aktivitet oppdages på domenet. Dette kan i mange tilfeller negativt påvirke besøkertall eller styrte nettsiden fullstendig idet ingen tør eller kan besøke den. Avhengig av nettsidens popularitet kan dette forårsake enorme finansielle tap.
Dessverre er det vanskelig å forsvare seg mot XSS-angrep. Som vi har sett finnes det sofistikerte metoder som lar denne typen malware-angrep utløses direkte i nettleseren uten å først måtte installeres på selve enheten du bruker. Noen typer kan utløses uten en gang å måtte kommunisere informasjon mellom klient og server, noe som gjør oppdagelse av mistenkelige elementer enda vanskeligere.
Det viktigste våpenet for å forhindre XSS-angrep er å utdanne seg i hvordan disse truslene fungerer. Du kan til en viss grad trene deg opp til å oppdage mistenkelige indikatorer på at ondsinnet kode har infisert et nettsideelement du er i ferd med å bruke. Her følger noen gode tips til tiltak du kan fatte for å redusere risiko.
Rask, privat og sikker surfing er kun ett klikk unna.