XSS-атак

Воровство данных: как это происходит?

И снова о безопасности.

Сегодня расскажу о том, как мошенники воруют сохранённые в браузерах пароли с помощью XSS-атак.

Информация важная не только для посетителей сайтов, но и для владельцев

Что такое XSS-атака?

Это атака, при которой на открываемую страницу сайта внедряют вредоносный код. Этот код не только сможет воровать данные, но и будет перенаправлять пользователей на другие ресурсы, заменять содержимое страницы и совершать другие наглые действия.

XSS-атак делят на:

ReflectedXSS

При таком типе атаки злоумышленник направляет жертве вредоносную ссылку и вынуждает перейти по ней.

StoredXSS

Вредоносный код внедряют в базу данных сайта. Там на него и натыкается пользователь. Если кликнул – попал на зараженную страницу.

Для пользователя кража его данных может произойти незаметно. После перехода по вредоносной ссылке он видит на экране какое-нибудь совершенно обычное уведомление об ошибке. Нажав на ОК, он окажется на главной странице ресурса. Вроде ничего особого не произошло, а данные в это время уже украдены.

Как защититься от XSS-атаки?

Рекомендую не хранить пароли в браузере. Да, это удобно, но не безопасно. Лучше использовать специальные менеджеры паролей.

Владельцам сайтов стоит проверять ресурсы на уязвимости и соответственно убирать их, если они найдутся. Важно настроить систему правильной обработки данных, поступающих извне. Такая информация должна восприниматься как обычный текст, даже если внутри неё заложен код.

Для самописных сайтов рекомендую применение функций конвертации программных символов и экранирование одинарных кавычек в JS-коде.

Для аргумента href тега подходит кодировка URL. Также можно валидировать схему и адрес хоста. Этот вариант оптимальный, если ссылка полностью формируется из недоверенных данных.

Поможет также добавление политики безопасности контента. Этот фрагмент кода будет определять, какие динамические ресурсы разрешено загружать, а какие нет. Это создаёт препятствие для запуска скрипта XSS-атаки.

Советы для пользователей WordPress

Сайты на CMS WordPress создаются с кодом и без кода, поэтому подходы к их защите будут иными.

Рекомендую следующее:

Регулярно обновляйте CMS и установленные плагины. Это не оставит вредоносному коду уязвимых брешей, ведь разработчики WP оперативно исправляют уязвимости.

Установите на сайт firewall. Для этого есть специальные плагины.

Добавьте политику безопасности контента.

Защищайте пользователей с помощью сертификата SSL. Так данные будут шифроваться,
и мошенники не смогут их прочесть.