XSS-атака
Воровство данных: как это происходит?
Сегодня расскажу о том, как мошенники воруют сохранённые в браузерах пароли с помощью XSS-атак.
Информация важная не только для посетителей сайтов, но и для владельцев
Это атака, при которой на открываемую страницу сайта внедряют вредоносный код. Этот код не только сможет воровать данные, но и будет перенаправлять пользователей на другие ресурсы, заменять содержимое страницы и совершать другие наглые действия.
При таком типе атаки злоумышленник направляет жертве вредоносную ссылку и вынуждает перейти по ней.
Вредоносный код внедряют в базу данных сайта. Там на него и натыкается пользователь. Если кликнул – попал на зараженную страницу.
Для пользователя кража его данных может произойти незаметно. После перехода по вредоносной ссылке он видит на экране какое-нибудь совершенно обычное уведомление об ошибке. Нажав на ОК, он окажется на главной странице ресурса. Вроде ничего особого не произошло, а данные в это время уже украдены.
Рекомендую не хранить пароли в браузере. Да, это удобно, но не безопасно. Лучше использовать специальные менеджеры паролей.
Владельцам сайтов стоит проверять ресурсы на уязвимости и соответственно убирать их, если они найдутся. Важно настроить систему правильной обработки данных, поступающих извне. Такая информация должна восприниматься как обычный текст, даже если внутри неё заложен код.
Для самописных сайтов рекомендую применение функций конвертации программных символов и экранирование одинарных кавычек в JS-коде.
Для аргумента href тега подходит кодировка URL. Также можно валидировать схему и адрес хоста. Этот вариант оптимальный, если ссылка полностью формируется из недоверенных данных.
Поможет также добавление политики безопасности контента. Этот фрагмент кода будет определять, какие динамические ресурсы разрешено загружать, а какие нет. Это создаёт препятствие для запуска скрипта XSS-атаки.
Советы для пользователей WordPress
Сайты на CMS WordPress создаются с кодом и без кода, поэтому подходы к их защите будут иными.
Регулярно обновляйте CMS и установленные плагины. Это не оставит вредоносному коду уязвимых брешей, ведь разработчики WP оперативно исправляют уязвимости.
Установите на сайт firewall. Для этого есть специальные плагины.
Добавьте политику безопасности контента.
Защищайте пользователей с помощью сертификата SSL. Так данные будут шифроваться,
и мошенники не смогут их прочесть.