Что такое межсайтовый скриптинг (XSS)?

Согласно Open Web Application Security Project (OWASP), XSS-атаки делятся на три категории: отраженные, хранимые и модель DOM (объектная модель документов). Они подробно описаны ниже.

Отраженная XSS-атака происходит, когда хакер внедряет вредоносный скрипт в уязвимое веб-приложение, а сервер затем возвращает его в HTTP-ответе. Браузер жертвы выполняет вредоносный скрипт как часть HTTP-ответа, подвергая риску законного пользователя и отправляя закрытую информацию хакеру.

Отраженные XSS-атаки обычно нацелены на сообщения об ошибках или страницы результатов поиска. Затем злоумышленник отправляет по электронной почте ссылку. Когда пользователь нажимает на ссылку, сервер получает запрос, содержащий вредоносный скрипт, и, поскольку сам скрипт не сохраняется, в ответ сервер отправляет код пользователю. Если вводимые пользователем данные недостаточно хорошо проверяются и санируются или если данные из запроса небезопасно дублируются, существует риск отраженных XSS-атак.

Главное средство защиты от XSS-атак — фильтрация контента и проверка вводимых пользователем данных. Вы можете использовать безопасные списки и списки блокировки поставщиков скриптов для отклонения рискованных шаблонов данных.

Кроме того, вы можете внедрить строгую политику безопасности контента, которая помогает определить источник встроенных скриптов, снижая риск отраженных XSS-атак. Надежная политика безопасности контента позволяет контролировать скрипты и расположение веб-страниц, на которых они могут загружаться и запускаться.

При хранимой XSS-атаке вредоносный скрипт сохраняет пользовательские данные на целевом сервере. В отличие от отраженной XSS-атаки, которая выполняется на сервере, хранимая XSS-атака выполняется в браузере пользователя. Злоумышленники используют современные приложения HTML5, обычно взаимодействующие с базами данных HTML, для постоянного хранения вредоносных скриптов в браузере.

При хранимой XSS-атаке скрипт сохраняется и выполняется на сервере каждый раз, когда пользователь переходит на соответствующий сайт. Злоумышленники легко охватывают большое количество жертв, и результат сохраняется надолго. Хранимые XSS-атаки также происходят, когда необученные пользователи пытаются извлечь данные из программного обеспечения, не принимая никаких мер предосторожности для их санации или проверки.

Хранимые XSS-атаки отражают вредоносный скрипт пользователю, поэтому самый простой способ их предотвратить — это санировать данные пользователей и осторожно обрабатывать входные данные, а лучший способ защиты — использовать надлежащую привязку параметров.

Очищать данные можно с помощью автоматического экранирования специальных символов или HTML-кодирования. Необходимо кодировать выходные данные, чтобы сервер не интерпретировал их как активное содержимое. Это означает, что приложение будет обрабатывать специальные символы в сохраненных данных как HTML-тег, а не обычный HTML. 

Привязка параметров зависит от вектора, но вы всегда можете передавать переменные как дополнительные значения за пределами самой функции. Вы также можете использовать соответствующие заголовки ответов для предотвращения атак, обычно просто добавив несколько строк кода.

Еще один способ предотвратить XSS-атаки в реальном времени — использовать динамическую безопасность, которая активно ищет попытки эксплуатации уязвимостей. Блокируя известные паттерны, вы можете предотвратить использование злоумышленниками существующих лазеек.

Наконец, вы можете использовать межсетевые экраны веб-приложений (Web Application Firewall, WAF) для обнаружения и блокировки XSS-атак в реальном времени.

Интерфейс DOM (объектная модель документа) позволяет обрабатывать содержимое веб-страниц и управлять им путем чтения и изменения документов HTML и XML. XSS-атаки в DOM-модели вносят вредоносные изменения в контекст DOM в браузере жертвы, в результате чего код со стороны клиента исполняется не так, как задумано.

XSS-атаки в DOM-модели, в отличие от отраженных и хранимых XSS-атак, не сохраняют вредоносный сценарий и не доставляют его на сервер. В этой атаке браузер жертвы является единственной уязвимостью. Поскольку их сложнее понять, чем другие категории, уязвимости на основе DOM являются нетипичными, сложными и опасными. Кроме того, автоматизированным сканерам уязвимостей и межсетевым экранам веб-приложений не удается легко их обнаружить.

Для этого типа атак можно использовать те же методы, что и для других двух, но следует проявлять особую осторожность при санации кода со стороны клиента. Два самых эффективных способа — запретить пользовательским источникам менять потенциально опасные функции JavaScript (приемники) или разрешать только надежный контент из «белого списка». С учетом этих мер предосторожности строки, которые могут угрожать DOM-модели, не будут попадать в приемники. Вы также можете санировать данные с помощью встроенных функций браузера, чтобы защититься от проблем, связанных с изменениями в работе парсера.

Новый метод защиты от атак такого типа — использование надежных типов. Это механизм безопасности браузера, который гарантирует, что все рискованные части DOM-модели могут использоваться только данными, которые соответствуют заданным правилам. Он предотвращает передачу произвольных строк в потенциально опасные приемники, что помогает браузеру различать код и данные. Тем самым мы устраняем основной источник уязвимости.