Главная
Темы дня
Спецпроекты
Акцент
Реклама
Архив
Теракты в Багдаде. 31 погибших, 100 раненых.
Соединенные Штаты и Россия подписали исторический договор по сокращению ядерных...
Премьер министр Турции не поддерживает санкции против Ирана
Обама предлагает радикальное изменение пространственных амбиций США.
   Новости: Наука и техника    

Интернет черви: как XSS обеспечивает платформу для вредоносного кода (часть 2)

- 24-12-09

Что изменилось?

Как говорилось выше, серьезность XSS со временем только растет. Почему ? Да просто потому, что рекомендации по борьбе с XSS атаками больше не являются реальностью. Мы привыкли говорить людям, чтобы они просто отключали выполнение активных сценариев (чаще всего JavaScript ) в своих интернет обозревателях, чтобы не пасть жертвой XSS атаки.

Хотя это все еще правда, это практически нереально, если вы в полной мере хотите насладиться всеми современными ресурсами интернета. Определенные технологии просто не работают без выполнения активных сценариев . Более важное изменение включает тип приложений, которые мы встречаем в интернете сегодня. На стыке веков мы называли Web контент « веб - сайтами ». В то время веб содержимое не представляло собой ничего кроме электронной брошюры.

По мере развития науки и техники, термин «веб приложения» стал общераспространенным. Интернет больше не является статичным. Содержимое генерируется динамически на основе вводимых пользователями данных. Это и подстегнуло развитие интернет атак, поскольку интернет стал более привлекательным.

Интернет черви

Традиционно компьютерные черви передавались от одного ПК к другому. Сегодня мы сталкиваемся с новым явлением: интернет черви, которые путешествуют от профиля к профилю на веб платформах социальных сетей. Такие черви могут существовать только внутри той экосистемы, в которой они зародились. Однако когда экосистема включает 300 миллионов учетных записей, это вообще не является ограничением.

11 апреля произошло событие, которое напомнило нам о скрытых угрозах межплатформенных веб приложений. Многие участники Twitter стали замечать, что на их страницах начали появляться комментарии, которые они там не оставляли. Это был интернет червь , написанный 17-летним хакером Майклом Муни . Майкл Муни обнаружил XSS уязвимости в Twitter , которые позволили ему написать интернет червя.

Рисунок - распространение одной из версий червя StalkDaily

1. Жертва просматривает ранее зараженный профиль другого пользователя Twitter

2. Вредоносный JavaScript (активная XSS ) загружается в обозреватель жертвы

3. Код JavaScript создает Ajax подключение к Twitter

4. Куки и имя пользователя жертвы передаются на сервер, управляемый Майклом Муни

5. Посылается запрос картинки на StalkDaily.com, еще один сайт , управляемый Майклом Муни

6. Определяются учетные данные жертвы

7. Автоматические комментарии вводятся от имени профиля жертвы, после чего профиль обновляется и вводит ссылку на зараженный StalkDaily червем JavaScript сценарий

Этот червь не нанес непоправимого вреда, однако будущие атаки могут быть более серьезными, они могут использоваться для получения конфиденциальных данных. Атаки ограничены возможностями тех платформ, которые используют. К сожалению, наличие большого числа XSS уязвимостей делает осуществление таких атак весьма простой задачей.

Лучшая защита

Традиционные средства защиты компьютеров не учитывают такие современные средства атаки, как интернет черви. Это новое поколение червей живет в сети, а не на компьютерах. Они передаются через HTTP запросы, а не через бинарные файлы, которые можно просканировать механизмами сигнатур, прежде чем выполнить.

Защита от интернет червей требует защиты от XSS атак. Как и в любой другой схеме защиты необходим полномасштабный подход защиты. На уровне компьютера начинают появляться защитные средства обозревателя. Такие программные модули, как NoScript расширение для Firefox позволяет защититься от XSS , а также от многих других угроз. Компания Microsoft первой выпустила обозреватель ( Internet Explorer 8) со встроенной защитой от XSS . Это важный шаг вперед.

На сетевом уровне, предприятиям следует учитывать продукты и сервисы по защите Web шлюзов. При использовании этих продуктов, будь то программное, программно-аппартное средство, или SaaS -предложение, нужно обязательно убедиться, что такое средство обеспечивает защиту от XSS , поскольку данная функция не универсальна.

Источник www.technewsworld.com


Версия для печати
 
       Актуальные статьи:

 
22.07.2010  Google подписывает 20-летний контракт с ветряной фермой
 
6.07.2010  Внутренности питона во время переваривания им крысы.
 
2.07.2010  Рожденные, чтобы жить более ста лет.
 
30.06.2010  3D: Основное препятствие это очки
 
24.06.2010  Геном человека. Революция начинается сейчас?
 
16.06.2010  Новая портативная камера от компании RAP4
 
4.06.2010  Григорий Перельман возможно скоро математически докажет существование Бога.
 
13.05.2010  Ослепительное будущее солнечной энергии?
 
5.05.2010  Лазер создает облака над Берлином.
 
20.04.2010  Skinput от Microsoft превращает человеческую руку в клавиатуру
 

   Новости: Политика    
 
•  Чавес угрожает прекратить поставки нефти в США
 
•  Китай и США продолжат курс на сближение.
 
•  Визит нового премьер-министра Великобритании в Афганистан.
 
•  Переговоры между Индией и Пакистаном пройдут в июле
 
•  Путин начал пиар-кампанию для возвращения на пост президента России.
 

   Новости: Экономика    
 
•  Греция просит о помощи.
 
•  Китай продолжит свою экономическую политику в 2010 году
 
•  Медведев даёт указания Газпрому не принимать изменения в договорах с Украиной.
 
•  К конце 2009 года инфляция не превысит 12%
 
•  Возможностей инвестирования пенсионных накоплений теперь больше
 

   Новости: Регионы    
 
•  Якутия - перспективный регион.
 
•  В Забайкалье запущен крупннейший золотодобывающий рудник.
 
•  Открылась первая в стране игровая зона
 
•  Ямал ждет студентов.
 
•  Киров переименовывают.
 

   Новости: За рубежом    
 
•  Компания Google пытается найти новый подход в Китае
 
•  Иран направляет в Газу суда с гуманитарной помощью
 
•  16 человек погибло в результате штурма израильскими войсками флотилии мира, перевозившей гуманитарную помощь в сектор Газы.
 
•  В понедельник Куба начнет передачу политических заключенных в их родные провинции.
 
•  Британская актриса обвиняет Романа Полански в сексуальных домогательствах
 

 © 2004-2008 Kommentator.ru Все права защищены. E-mail: info@kommentator.ru
 "Комментатор", Свидетельство о регистрации СМИ Эл № ФС 77-20354