Hva er et XSS-angrep, og hva kan du gjøre med det?
Verden er i ferd med å våkne opp til noe som kalles et XSS-sårbarhetsproblem. Mens jeg tror det er bra at problemet blir behandlet på nettsteder over hele verden, tror jeg ikke det er veldig bra for oss å være uvitende om hva det er. Tross alt er de fleste XSS-angrep forebyggbare av det potensielle offeret. På internett er det ditt ansvar å befeste deg mot enhver trussel, slik at du ikke blir offer. For å forstå hvordan du kan beskytte deg mot XSS, må du først vite hva XSS er, og hvordan det kan påvirke deg, og hvordan du kan forhindre det.
Hva er XSS?
Definisjonen er i sitt navn. Et XSS-angrep utføres ved å endre en URL på en måte som kan tillate at enkelte skript blir injisert i det. For eksempel kan du lage et helt annet nettsted som vises innenfor rammen av nettadressens destinasjon.
Se på et eksempel på den endrede nettadressen:
Se hvor skriptet ble injisert? I dette eksemplet er det ganske enkelt fordi det starter med "". Hackere gjør dette for å lokke intetanende tilhørere til sider som kan kapre nettleserne sine.
Hvordan påvirker XSS deg?
XSS kan brukes på flere måter. Noen kan bare legge inn en kobling på Twitter som inneholder den ondsinnede nettadressen. Twitter gjør halvparten av arbeidet for dem ved å dekke nettadressen delvis. Kontekstuelle linker i ikke-troverdige blogger og nettsteder kan inneholde nettadresser som er maskert av "ankertekst" (som er en annen fin måte å beskrive tekst på som er understreket og blått).
Når du klikker på lenken, kan en rekke ting skje. I et best scenario vil du bare oppleve en "prank", per se. Med andre ord vil du bli ledet til en side med en gjeng med falsk innhold, og kanskje vise kreditt til gruppen som utførte XSS-angrepet. I verste fall vil nettleseren din oppleve marerittlige symptomer. Du kan ha endret hjemmesiden din, og det kan oppstå flere forskjellige irritasjoner på datamaskinen din som følge av utført skadelig programvare.
XSS kan også brukes til å spore deg ved å installere informasjonskapsler på datamaskinen uten ditt samtykke. Å samle disse dataene kan tillate hackere å bedre forstå en "digital demografisk" av personene de målretter mot for fremtidige malwareinfeksjoner. I et slikt tilfelle kan du ikke engang merke til noe som skjer i din datamaskin eller mobil enhet i det hele tatt.
Hvor farlig er XSS?
Alt i alt er XSS vanligvis ikke veldig farlig. Det kan være irriterende, men det vil ikke presentere noen langsiktige konsekvenser, i hvert fall ikke på kort sikt. Vær imidlertid forsiktig med kombinasjoner mellom XSS-angrep og annen form for ondsinnet oppførsel!
For eksempel, la oss si at Facebook er sårbart for XSS. En hacker kan enkelt injisere en falsk påloggingsside til Facebooks URL. Du ville logge inn med hell (siden den falske siden kan sende legitimasjonene dine til både Facebook og egen database), men hackeren vil nå ha brukernavn og passord. Det er her den sanne faren for XSS presenterer seg selv.
Slik beskytter du deg mot XSS
En av disse dagene, vil XSS bare være en ting fra fortiden. Men til da må du lære å hindre deg i å falle inn i XSS-fellen. Hver gang du skriver inn en side, ta en titt på nettadressen. Hvis det er noe som indikerer at det er et skript der inne (for eksempel "" tegnene som omgir et ord), er det lurt å bruke skjønn og kanskje forlate. Se også nettadressene til koblinger. Høyreklikk på hver lenke og kopier den til utklippstavlen. Lim inn nettadressen i notisblokken din og sjekk den ut før du selv går inn.
Hvis du har et nettsted du utvikler deg selv, les dette fuskarket. Dette vil beskytte deg og dine besøkende fra XSS. Husk å sende cheatarket til alle webutviklere du kjenner. De vil sette pris på det.
Hvis du har flere spørsmål om XSS, vær så snill å la den stå i en kommentar nedenfor!