it-swarm-eu.dev

Jaká je nebezpečí Reflected Cross Site Scripting?

Jaká je nebezpečí Reflected Cross Site Scripting?

Chápu, že Reflected XSS je nebezpečný, protože je to možné. Jaké praktické útoky lze však provést pomocí Reflected XSS?

18
Lucas Kauffman

Při vkládání kódu na stránku můžete udělat hodně. Například můžete

  1. ukrást přihlašovací údaje v cookies jiných než HTTPOnly.
  2. odesílat žádosti na server s přihlašovacími údaji uživatele. Mysli XSRF
  3. ukradnout tajemství, která jsou uložena v proměnných JS.
  4. Vyzvěte uživatele ke stažení obsahu odesláním formuláře
  5. zobrazit text, který se zdá, že pochází od majitelů stránek. Mysli phishing.
  6. zobrazit zadání hesla, zaznamenat stisknutí kláves a výsledek odeslat na vybrané místo
  7. přesměrovat na jiný web
  8. získat data GPS/kamery, pokud uživatel udělil tomuto webu přístup k zařízení
12
Mike Samuel

článek wikipedia to dělá velkou spravedlnost:

Netrvalá (nebo odražená) zranitelnost skriptování mezi weby je zdaleka nejběžnějším typem. Tyto díry se objevují, když jsou data poskytnutá webovým klientem, nejčastěji v parametrech dotazu HTTP nebo v podání HTML, okamžitě použita skripty na straně serveru ke generování stránky výsledků pro tohoto uživatele, aniž by požadavek řádně dezinfikoval.

Protože dokumenty HTML mají plochou, sériovou strukturu, která mísí řídicí příkazy, formátování a skutečný obsah, mohou jakákoli neověřená uživatelská data zahrnutá na výsledné stránce bez správného kódování HTML vést k injekci značkování. Klasickým příkladem potenciálního vektoru je vyhledávač stránek: pokud jeden hledá řetězec, bude vyhledávací řetězec obvykle znovu zobrazen doslovně na stránce s výsledky, aby bylo uvedeno, co bylo hledáno. Pokud tato odpověď správně neunikne nebo neodmítne řídicí znaky HTML, dojde k chybě skriptování mezi weby.

Odražený útok se obvykle doručuje prostřednictvím e-mailu nebo neutrálního webu. Návnada je nevinná adresa URL, která ukazuje na důvěryhodný web, ale obsahuje vektor XSS. Pokud je důvěryhodný web zranitelný vůči vektoru, kliknutím na odkaz může prohlížeč oběti spustit injektovaný skript.

...

Netrvalé (aka reflexní):

  1. Alice často navštěvuje konkrétní web, jehož hostitelem je Bob. Bobův web umožňuje Alice přihlásit se pomocí páru uživatelských jmen a hesel a ukládat citlivá data, jako jsou fakturační údaje.
  2. Mallory podotýká, že Bobův web obsahuje odraženou XSS zranitelnost.
  3. Mallory vytvoří URL, aby zneužil tuto chybu zabezpečení, a pošle Alice e-mail, který ji přiměje kliknout na odkaz na URL pod falešnými záminkami. Tato adresa URL bude odkazovat na Bobovu webovou stránku (buď přímo nebo prostřednictvím prvku iframe nebo ajax), ale bude obsahovat škodlivý kód Mallory, který bude web odrážet.
  4. Alice navštíví adresu URL poskytnutou Mallory, zatímco se přihlásí na Bobovu webovou stránku.
  5. Škodlivý skript vložený do adresy URL se spustí v prohlížeči Alice, jako by pocházel přímo ze serveru Bob (jedná se o skutečnou chybu zabezpečení XSS). Skript lze použít k odeslání Alice relační cookie Mallory. Mallory pak může pomocí souboru cookie relace ukrást citlivé informace dostupné Alice (ověřovací údaje, fakturační údaje atd.), Aniž by o tom Alice věděla.

Máte na to nějaké dotazy?

Standardní obranná práce XSS proti ní; např. dezinfikovat nedůvěryhodný uživatelský vstup; např. nechat je vložit malou podskupinu HTML (z bezpečného omezeného značkovacího jazyka) nebo projít dobrým html sanitizerem/čističem, nepoužívat nebezpečné vzory ve skriptech (např. eval v javascriptu na vstupu uživatele), ideálně použít prohlížeč s CSP a sandboxem atd.

10
dr jimbob

Od OWASP :

Odrazené útoky XSS: Odrazené útoky jsou útoky, u kterých se vstřikovaný kód odráží od webového serveru, například v chybové zprávě, výsledku vyhledávání nebo v jakékoli jiné odpovědi, která zahrnuje část nebo veškerý vstup odeslaný na server v rámci žádosti. . Odrazené útoky jsou obětem doručovány jinou cestou, například v e-mailové zprávě nebo na jiném webovém serveru. Když je uživatel oklamán kliknutím na škodlivý odkaz nebo odesláním speciálně vytvořeného formuláře, vstřikovaný kód přejde na zranitelný webový server, což odráží útok zpět do jeho prohlížeče. Prohlížeč poté provede kód, protože pochází z „důvěryhodného“ serveru.

Co to znamená, že mohu dát škodlivý kód jako součást parametrů dotazu (část adresy URL za znakem ampersand nebo otazníkem. Mohu poslat škodlivý e-mail, použít bit.ly nebo podobný, nebo kombinovat s jinými útoky, abych získal můžete učinit nezamýšlený požadavek, který není filtrován pro XSS.

Co se týče útoků, Phishing bude velký, přiměj někoho, aby mi důvěřoval mému zlému odkazu. Tento typ útoku lze také kombinovat s CSRF nebo s libovolným počtem útoků, kdykoli a útočník může získat jiný web, aby spustil svůj kód, a vy můžete spustit stránku s povoleným javascriptem, bude to špatné.

Některé odkazy

4
Eric G

Doporučuji, abyste se podívali na BeEF - The Browser Exploitation Framework http://beefproject.com/ Je to v podstatě nástroj pro ukázání nebezpečí XSS. Pomocí odraženého nebo přetrvávajícího útoku XSS se hovězí hák zavěsí na daný web a umožňuje útočníkovi ovládat prohlížeč na dané stránce. BeEF se integruje s Metasploitem, což útočníkovi umožňuje posílat exploity prohlížeče atd. Do prohlížeče uživatele. Můžete krást data, krást zasedání atd. Tam jsou také některá slušná videa.

Cokoliv může BeEF udělat, útočníci také mohou. XSS může být docela špatné.

3
Erlend