Hvad er et XSS Attack, og hvad kan du gøre ved det?
Verden er begyndt at vågne op til noget, der er kendt som en kryds-site scripting (XSS) sårbarhed. Mens jeg tror, det er en god ting, at problemet bliver behandlet på hjemmesider over hele kloden, tror jeg ikke, det er meget godt for os at være uvidende om, hvad det er. De fleste XSS-angreb er trods alt forhindret af det potentielle offer. På internettet er det dit ansvar at befæste dig selv mod enhver trussel, så du ikke bliver offer. For at forstå, hvordan du kan beskytte dig selv mod XSS, skal du først vide, hvad XSS er, og hvordan det kan påvirke dig, så hvordan man forhindrer det.
Hvad er XSS?
Definitionen er i sit navn. Et XSS-angreb udføres ved at ændre en webadresse på en måde, der kan tillade visse scripts at blive injiceret i det. For eksempel kan du lave et helt andet websted inden for rammerne af webadressens destination.
Se på et eksempel på den ændrede webadresse:
Se hvor scriptet blev injiceret? I dette eksempel er det ret let, fordi det starter med "". Hackere gør dette for at lokke intetanende tilhængere på sider, der kan kapre deres browsere.
Hvordan påvirker XSS dig?
XSS kan bruges på forskellige måder. Nogle kan bare sende et link på Twitter, der indeholder den ondsindede webadresse. Twitter gør halvdelen af arbejdet for dem ved delvis at dække URL'en. Kontekstrelaterede links inden for ubestridelige blogs og websteder kan indeholde webadresser, der er maskeret af "ankertekst" (hvilket er en anden dekorativ måde at beskrive tekst på understreget og blå).
Når du klikker på linket, kan der ske en række ting. I et bedste tilfælde vil du bare opleve en "prank" i sig selv. Med andre ord vil du blive sendt til en side med en masse falsk indhold, måske med kredit til den gruppe, der udførte XSS-angrebet. I værste fald vil din browser opleve mareridtlige symptomer. Du kan få din hjemmeside ændret, og der kan opstå flere forskellige irritationer på din computer som følge af udført malware.
XSS kan også bruges til at spore dig ved at installere cookies på din computer uden dit samtykke. At indsamle disse data kan give hackere bedre at forstå en "digital demografisk" af de personer, de målretter mod fremtidige malwareinfektioner. I et sådant tilfælde kan du ikke engang bemærke noget der foregår i din computer eller mobil enhed overhovedet.
Hvor farligt er XSS?
Alt taget i betragtning er XSS normalt ikke meget farligt. Det kan være irriterende, men det vil ikke indebære nogen langsigtede konsekvenser, i det mindste ikke på kort sigt. Pas på kombinationer mellem XSS-angreb og anden form for ondsindet adfærd!
Lad os f.eks. Sige, at Facebook er sårbart overfor XSS. En hacker kan let injicere en falsk log-in side til Facebooks URL. Du ville logge ind med succes (da den falske side kan sende dine legitimationsoplysninger til både Facebook og sin egen database), men hackeren vil nu have dit brugernavn og adgangskode. Det er her den sande fare for XSS præsenterer sig selv.
Sådan beskytter du dig mod XSS
En af disse dage vil XSS bare være en ting fra fortiden. Men indtil da skal du lære at forhindre dig i at falde i XSS-fælden. Hver gang du indtaster en side, skal du kigge på webadressen. Hvis der er noget der tyder på, at der er et script derinde (som f.eks. "" Tegnene omkring et ord), er det klogt at bruge dit skøn og måske forlade. Se også webadresserne på links. Højreklik på hvert link og kopier det til dit udklipsholder. Indsæt webadressen i din notesblok ansøgning og tjek den ud, før du selv går ind.
Hvis du har et websted, du udvikler dig selv, læs dette snydeark. Dette beskytter dig og dine besøgende fra XSS. Sørg for at sende cheatarket til alle webudviklere, du kender. De ville sætte pris på det.
Hvis du har flere spørgsmål om XSS, skal du sørge for at lade det stå i en kommentar nedenfor!