מה זה התקפת XSS ומה אתה יכול לעשות על זה?
העולם מתחיל להתעורר למשהו הידוע כפגיעות של Scripting בין אתרים (XSS). אמנם אני מאמין שזה דבר טוב כי הנושא הוא להיות מטופלים באתרים ברחבי העולם, אני לא חושב שזה טוב מאוד עבורנו להיות בורים של מה זה. אחרי הכל, רוב התקפות XSS ניתן למנוע על ידי הקורבן הפוטנציאלי. באינטרנט, זה באחריותך לחמש את עצמך מפני כל איום שמא תהפוך לקורבן. כדי להבין איך אתה יכול להגן על עצמך מפני XSS, עליך קודם לדעת מה XSS הוא וכיצד הוא יכול להשפיע עליך, אז איך למנוע את זה.
מה זה XSS?
ההגדרה היא בשמה. התקפת XSS מתבצעת על ידי שינוי כתובת האתר בצורה שתאפשר סקריפטים מסוימים להיות מוזרק לתוך זה. לדוגמה, תוכל ליצור אתר אחר לגמרי בתוך מסגרת של היעד של כתובת האתר.
עיין בדוגמה של כתובת האתר ששונה:
ראה היכן הוזרק הסקריפט? בדוגמה זו, זה די קל כי זה מתחיל עם "". האקרים עושים זאת על מנת לפתות עוברי אורח תמימים לדפים שעלולים לחטוף את הדפדפנים שלהם.
כיצד XSS להשפיע עליך?
XSS ניתן להשתמש במגוון דרכים. חלק עשויים רק לכתוב קישור בטוויטר המכיל את כתובת האתר זדונית. טוויטר עושה חצי עבודה עבור אותם על ידי כיסוי את כתובת האתר באופן חלקי. קישורים הקשריים בתוך בלוגים לא מהימנים ואתרי אינטרנט עשויים להכיל כתובות אתרים שמוסוות על ידי "טקסט העוגן" (שהיא דרך מפוארת נוספת לתיאור טקסט עם קו תחתון וכחול).
כאשר אתה לוחץ על הקישור, מספר דברים יכולים לקרות. במקרה הטוב ביותר, אתה פשוט לחוות "מתיחה", כשלעצמה. במילים אחרות, אתה תהיה מופנה לדף עם חבורה של תוכן מזויף, אולי מראה אשראי לקבוצה שביצע את ההתקפה XSS. במקרה הגרוע ביותר, הדפדפן שלך ייתקל בסימפטומים סיוטים. ייתכן שיהיה דף הבית שלך השתנה, וכמה מטרד שונים יכולים להתרחש במחשב כתוצאה של תוכנות זדוניות להורג.
XSS יכול לשמש גם כדי לאתר אותך על ידי התקנת קבצי Cookie במחשב שלך ללא הסכמתך. איסוף נתונים אלה עלול לאפשר להאקרים להבין טוב יותר את "הדמוגרפיה הדיגיטלית" של האנשים שהם ממקדים לדלקות עתידיות של תוכנות זדוניות. במקרה כזה, ייתכן שלא תבחין בשום דבר שמתרחש במחשב או בהתקן הנייד שלך.
איך מסוכן XSS?
כל הדברים בחשבון, XSS הוא בדרך כלל לא מסוכן מאוד. זה עלול להיות מעצבן, אבל זה לא יציג כל השלכות ארוכות טווח, לפחות לא בטווח הקצר. עם זאת, היזהרו שילובים בין התקפות XSS ועוד סוגים של התנהגות זדונית!
לדוגמה, נניח שפייסבוק פגיע ל- XSS. האקר יכול בקלות להזריק דף יומן מזויף לכתובת האתר של Facebook. אתה נכנס בהצלחה (מאחר שהדף המזויף יכול לשלוח את פרטי הכניסה שלך ל- Facebook ולמסד הנתונים שלו עצמו), אך כעת יהיה ל- hacker שם משתמש וסיסמה. זה המקום שבו הסכנה האמיתית של XSS מציג את עצמו.
כיצד להגן על עצמך מפני XSS
באחד הימים, XSS יהיה פשוט להיות נחלת העבר. אבל עד אז, אתה צריך ללמוד כדי למנוע את עצמך ליפול לתוך מלכודת XSS. בכל פעם שאתה מזין דף, עיין בכתובת האתר. אם יש משהו המציין שם סקריפט שם (כגון "" תווים המקיפים מילה), אז זה חכם להשתמש בשיקול הדעת שלך ואולי לעזוב. כמו כן, צפה בכתובות האתרים לקישורים. לחץ לחיצה ימנית על כל קישור והעתק אותו ללוח. הדבק את כתובת האתר לתוך יישום פנקס שלך לבדוק את זה לפני שאתה אפילו להיכנס.
אם יש לך אתר אינטרנט שאתה מפתח את עצמך, לקרוא את גיליון זה לרמות. זה יגן עליך ועל המבקרים שלך מ XSS. הקפד לשלוח את גיליון לרמות לכל מפתחי אינטרנט שאתה מכיר. הם יעריכו את זה.
אם יש לך שאלות נוספות על XSS, הקפד להשאיר אותו תגובה למטה!