Cross-site scripting — czym jest i jak się przed nim chronić?

Jak działa atak XSS?

XSS to forma cyberataku, w którym po aktywowaniu szkodliwego kodu następuje kradzież Twoich danych. Ten złośliwy skrypt często infekuje pola logowania, dzięki czemu może wykraść Twoje hasła i pliki cookie. Złośliwe oprogramowanie rejestruje dane użytkownika i przekazuje je hakerowi.

Istotą ataku XSS jest to, że złośliwy kod w języku skryptowym (zazwyczaj w języku JavaScript, ale nie tylko) zostaje „wstrzyknięty” do przeglądarki użytkownika i to właśnie w niej przebiega cały atak. To oznacza, że Twoje urządzenie pozostaje bezpieczne, a jedynie działania podejmowane w przeglądarce mogą zostać przechwycone przez hakera.

Skąd nazwa „cross-site scripting”?

Atak typu cross-site scripting (XSS) polega na wprowadzeniu złośliwego kodu (skryptu) hakera do skryptu innej witryny. Tak właśnie powstał termin cross-site scripting, co na j. polski często tłumaczy się jako „skrypty między witrynami”, a samo słowo cross oznacza „krzyżować” — stąd właśnie pochodzi X w nazwie XSS. Pierwotnie termin XSS odnosił się wyłącznie do języka JavaScript. Jednak po ponad dwudziestu latach od powstania oryginalnej nazwy, termin XSS obejmuje obecnie również inne języki oprogramowania, takie jak ActiveX, Flash, HTML i inne.

Rodzaje ataków typu XSS

Odbicie, czyli atak reflected XSS

Odbity atak XSS (ang. reflected XSS) ma miejsce, gdy użytkownik wysyła żądanie do serwera strony. Wstrzyknięty przez hakera złośliwy skrypt odbija się od serwera i trafia do przeglądarki użytkownika w postaci zainfekowanego formularza internetowego lub URL. Może pojawić się na ekranie ofiary jako komunikat o błędzie lub nawet w jej wynikach wyszukiwania. Użytkownik kliknie następnie wyświetlony przycisk lub link, aktywując w ten sposób zainfekowany kod. Dzieje się tak, ponieważ przeglądarka została właśnie oszukana i odczytuje złośliwy kod jako pochodzący z zaufanego serwera. Wszystkie informacje wprowadzone przez ofiarę na tak zainfekowanej stronie zostaną wysłane do hakera.

Atak typu persistent XSS

Przechowywany atak XSS (ang. Persistent XSS/Stored XSS) występuje wtedy, gdy aplikacja lub strona internetowa posiada złośliwe oprogramowanie, które zaatakowało wszystkie jej kody odpowiedzi HTTP. Ten rodzaj ataku XSS uważany jest za najbardziej uporczywy. W tym przypadku złośliwy kod może być umieszczony np. w sekcji komentarzy na atakowanej stronie www, a aktywowanie go nie wymaga żadnych reakcji ze strony użytkowników. Niebezpieczeństwo związane z uporczywym XSS polega na tym, że haker po przygotowaniu pułapki nie musi kusić potencjalnej ofiary do kliknięcia linku. Wszystko, co musi zrobić, to zarzucić przynętę i czekać na efekty.

Atak XSS oparty na DOM

Obiektowy model dokumentu (DOM), który jest tworzony zaraz po otwarciu strony internetowej, umożliwia użytkownikowi dostęp do wszystkich treści na stronie internetowej bez konieczności interakcji z serwerem. Dlatego atak XSS oparty na DOM koncentruje się na przeglądarce ofiary. W przypadku Reflected i Persistent XSS, oznaki zagrożenia są widoczne w kodzie HTML na stronie serwera. Zagrożenie XSS-em opartym na DOM-ie polega na tym, że nie można dostrzec złośliwego kodu bez zagłębienia się w kod strony. Większość użytkowników niebędących technicznymi guru łatwo padnie ofiarą tego ataku. W końcu jak często sprawdzasz dwukrotnie kod strony, zanim cokolwiek na niej klikniesz?

Jak chronić się przed atakiem XSS?

Niestety, przed atakami XSS nie jest łatwo się obronić — złośliwy skrypt celuje w strony internetowe, które odwiedzasz, a nie w Twoje osobiste urządzenie. Tak, jak w przypadku wszystkich rodzajów złośliwego oprogramowania, najlepszym sposobem na uniknięcie stania się ich ofiarą jest odpowiednia wiedza. Edukacja w zakresie rozpoznawania sygnałów, zanim przypadkowo aktywujesz złośliwy kod, jest priorytetem dla każdego, kto chce zabezpieczyć swoją aktywność w sieci. Oto kilka dobrych wskazówek, jak nie paść ofiarą ataków XSS:

• Wyrób w sobie nawyk sprawdzania adresu URL — jeśli coś wydaje się nietypowe, bądź ostrożny przy podejmowaniu wszelkich działań na stronie, którą odwiedzasz.
• Bardziej zaawansowanym użytkownikom polecamy zagłębić się w kod każdej otwieranej strony internetowej, aby sprawdzić, czy nie ma na niej niepasującego skryptu.
• Chrome, Safari, Internet Explorer i większość solidnych bezpiecznych przeglądarek ma wbudowane funkcje bezpieczeństwa, które pomagają wykryć i zablokować odbite XSS. Jednak starsze przeglądarki mogą nie mieć tej funkcji.
• Funkcja Threat Protection od NordVPN-a zapewnia dodatkową warstwę zabezpieczeń — nasza stale aktualizowana czarna lista złośliwych witryn uchroni Cię przed niespodziewanym zagrożeniem.