Главная
Темы дня
Спецпроекты
Акцент
Реклама
Архив
Путин начал пиар-кампанию для возвращения на пост президента России.
Лазер создает облака над Берлином.
Иран согласен на предложение Бразилии по ядерным переговорам
Новая линейка ноутбуков компании HP будет использовать процессоры AMD
   Новости: Наука и техника    

Интернет черви: как XSS обеспечивает платформу для вредоносного кода (часть 1)

- 24-12-09

Что такое XSS?

В зависимости от того, кого вы слушаете, статистика может различаться, но практически все источники согласны с тем, что XSS (выполнение сценариев между сайтами) остается основной уязвимостью веб приложений сегодня. В своих последних отчетах о безопасности компания White Hat Security обнаружила, что 65% протестированных сайтов имели XSS уязвимости. Почему же дело обстоит так, если о XSS известно уже более десяти лет?

Здесь есть три основные причины: во-первых, XSS может существовать где угодно в водимых пользователями данных и использоваться любым приложением. В сегодняшней технологии Web , где поставляемый пользователем контент не только разрешен, но и поощряется, это обеспечивает массу возможностей создания уязвимостей в приложениях. Во - вторых , нам не удалось научить разработчиков безопасности . Сегодня большинство учебников по разработке содержит информацию о небезопасных кодах создания приложений и в большей части игнорируют понятие проверки вводимой информации. Наконец, менеджеры по продукции, лидеры групп разработки и прочие смежные сотрудники воспринимают исправление уязвимостей XSS , как низкоприоритетную задачу, если вообще признают существование таковой.

Рисунок – подверженность веб приложений уязвимостям - WhiteHat Security, декабрь 2008

Так что же такое XSS ? Если говорить коротко, это уязвимость, вызываемая несоответствующей проверкой вводимых значений, которые позволяют исполняемому коду внедряться в динамически генерируемые веб страницы. Сейчас это определение можно применить к достаточно широкому массиву уязвимостей.

Возьмем, к примеру, поисковую страницу. Конечный пользователь ищет слово «яблоко» и веб приложение возвращает динамически созданную страницу, в которой говориться что-то вроде «результаты поиска слова: яблоко», за ним следуют сами результаты. В данном случае слово «яблоко» в предыдущем утверждении представляет вводимые пользователем данные, которые использовались приложением и внедрились в динамически созданную веб страницу.

В данном случае это стандартная функция, но что произойдет, если веб приложение не сможет проверить вводимые пользователем данные? Что если пользователь вводит активное содержимое типа JavaScript? Если никакой проверки не произошло, этот JavaScript будет внедрен в возвращенную страницу, и обозреватель пользователя интерпретирует и выполнит исполняемый код.

Хотя любые активные сценарии можно использовать для атак, JavaScript является излюбленным языком для XSS атак, поскольку он применяется практически во всех современных веб обозревателях.

Хотя некоторые могут поспорить, что есть другие формы XSS , я предпочитаю концентрировать внимание на двух основных категориях: пассивная и активная. Общее правило, воспринимайте пассивную, как сценарий, где атака равняется одной жертве, в то время как активная позволяет атаковать множество жертв. Давайте сначала рассмотрим пассивную XSS .

Рисунок – Пассивная XSS

 

Все атаки на клиентской стороне включают социальные технологии. В этом случае жертве нужно отправить изначальный запрос, который инициирует XSS атаки. Это обычно выполняется посредством отправки HTML сообщений спама. Это сообщение будет включать ссылку, содержащую вредоносный JavaScript в параметре запроса. Когда жертва нажимает по зараженной ссылке, запрос направляется на страницу с уязвимостью XSS . Страница принимает зараженный JavaScript из-за отсутствия надлежащего механизма проверки вводимых данных. Зараженный JavaScript сценарий внедряется в ответ и возвращается в обозреватель жертвы. При получении обозреватель жертвы интерпретирует страницу и выполняет зараженный код JavaScript .

Атака завершается, когда взломщик получает информацию. Чаще всего взломщики собирают содержимое так называемых кукисов пользователя. Благодаря такой информации – если используется защищенное паролем веб приложение – взломщик может работать от имени пользователя, пока сеанс не будет завершен.

Активные XSS проходят по похожему пути, разница заключается в точке ввода зараженного кода JavaScript . При пассивной XSS сценарий JavaScript внедряется в URL адрес, который отправляется единственной потенциальной жертве. При активной XSS сценарий JavaScript внедряется в страницу, которая позволяет ввод и хранение данных пользователем (например, веб форум), где этот код будет доступен множеству потенциальных жертв. Сообщения спама могут рассылаться пользователям с целью убеждения посетить сомнительную страницу, но на сей раз зараженный сценарий JavaScript не направляется непосредственно пользователю.

Продолжение читайте здесь

Источник www.technewsworld.com  


Версия для печати
 
       Актуальные статьи:

 
22.07.2010  Google подписывает 20-летний контракт с ветряной фермой
 
6.07.2010  Внутренности питона во время переваривания им крысы.
 
2.07.2010  Рожденные, чтобы жить более ста лет.
 
30.06.2010  3D: Основное препятствие это очки
 
24.06.2010  Геном человека. Революция начинается сейчас?
 
16.06.2010  Новая портативная камера от компании RAP4
 
4.06.2010  Григорий Перельман возможно скоро математически докажет существование Бога.
 
13.05.2010  Ослепительное будущее солнечной энергии?
 
5.05.2010  Лазер создает облака над Берлином.
 
20.04.2010  Skinput от Microsoft превращает человеческую руку в клавиатуру
 

   Новости: Политика    
 
•  Чавес угрожает прекратить поставки нефти в США
 
•  Китай и США продолжат курс на сближение.
 
•  Визит нового премьер-министра Великобритании в Афганистан.
 
•  Переговоры между Индией и Пакистаном пройдут в июле
 
•  Путин начал пиар-кампанию для возвращения на пост президента России.
 

   Новости: Экономика    
 
•  Греция просит о помощи.
 
•  Китай продолжит свою экономическую политику в 2010 году
 
•  Медведев даёт указания Газпрому не принимать изменения в договорах с Украиной.
 
•  К конце 2009 года инфляция не превысит 12%
 
•  Возможностей инвестирования пенсионных накоплений теперь больше
 

   Новости: Регионы    
 
•  Якутия - перспективный регион.
 
•  В Забайкалье запущен крупннейший золотодобывающий рудник.
 
•  Открылась первая в стране игровая зона
 
•  Ямал ждет студентов.
 
•  Киров переименовывают.
 

   Новости: За рубежом    
 
•  Компания Google пытается найти новый подход в Китае
 
•  Иран направляет в Газу суда с гуманитарной помощью
 
•  16 человек погибло в результате штурма израильскими войсками флотилии мира, перевозившей гуманитарную помощь в сектор Газы.
 
•  В понедельник Куба начнет передачу политических заключенных в их родные провинции.
 
•  Британская актриса обвиняет Романа Полански в сексуальных домогательствах
 

 © 2004-2008 Kommentator.ru Все права защищены. E-mail: info@kommentator.ru
 "Комментатор", Свидетельство о регистрации СМИ Эл № ФС 77-20354