Опасный "подводный камень" для вебмастера: XSS-атака

Автор: КОМП-АС от 14 июнь 2016

XSS атака

Доброго времени суток всем, кто сейчас у экранов монитора!
Все те, кто сейчас зарабатывают во всемирной сети, прекрасно знают, что это очень непростой и тяжелый труд, особенно, на первых порах, когда не хватает знаний, опыта и сноровки в этих вопросах. Всем известно, что основным и самым весомым инструментом заработка в сети, является собственный интернет-ресурс: сайт блог и т.д. Исходя из этого, заработок с помощью сайта является самым сложным, а иногда и вовсе, убыточным, "благодаря" некоторым обстоятельствам. Одно из самых распространенных таких обстоятельств - XSS-атака.


Так что же это такое? Опытные манимейкеры знают, что XSS-атака, или межсайтовый скриптинг - одно из самых любимых и распространенных видов атак у хакеров, особенно, начинающих.


XSS-атака - это один из типов уязвимости информативного ресурса во всемирной сети. Проще говоря, это мошенническое интегрирование злоумышленником, своих страниц и скриптов в ресурс жертвы, которые, при каждом посещении, будут исполняться в первую очередь.
Таких видов атак, или уязвимостей, выделяют две: активная и пассивная. Самая опасная, конечно, это активная. В данном случае, мошеннику нет необходимости создавать собственную ссылку, чтобы привести жертву на сайт. Вполне достаточно будет внедрения кода в базу, или любого файла не сервере. В этом случае, абсолютно все посетители данного ресурса, стают потенциальными жертвами. Самым распространенным таким кодом является SQL (скул-инъекция).

 

Пассивная атака менее распространенная, так как малоэффективна. Необходимо знать адрес жертвы, устраивать различные СПАМ-рассылки, да и не факт, что жертвы пройдут по ссылкам, рассылать письма от "имени администрации" и т.д. Это довольно долгий и кропотливый труд, и опытный мошенник этим заниматься не будет.


Очень популярны у хакеров XSS-атаки, направленные на кражу Cookies (интернет-следы). В большинстве случаев, "куки" довольно часто хранят нужную информацию, зачастую, логины и пароли, поэтому, всегда, уходя с сайта, необходимо нажимать "Выход". Тут еще радует и то обстоятельство, что на многих сайтах ограничено время активной сессии.


Не менее популярна кража данных форм заполнения. Тут все еще проще. Злоумышленник ищет форму через "getElementById", и отслеживает событие "onsubmit" или "onsubmitnоw". Все, "темное" дело сделано. Теперь, заполненная форма, будет отправляться не только по нужному адресу, но и на сервер мошенника. С первого взгляда, можно предположить, что это тривиальный фишинг. Но тут, в отличии от фишинга, используется не сайт-клон, а настоящий сайт, что может ввести в заблуждение не то, что новичка, а даже очень опытного пользователя.

xss attack

 

В последние годы, стали очень популярны подделки межсайтовых запросов или (CSRF/XSRF). Откровенно говоря, это не сама по себе, разновидность XSS-атаки, но очень с ней "спелась". Можно сказать - "неразлейвода". В основном, это направленно на кражу денежных средств с интернет-кошельков. Что же, собственно, происходит?


На самом деле, так же, все просто. Пользователь, который зашел и авторизовался на "здоровом" сайте, после этого, заходит на уязвимый, как правило, на страницу мошенника, а с нее уже и отправляется запрос на совершение действий и происходит сам процесс обмана. на практике. это выглядит, примерно так: пользователь mpfitk и авторизировался в платежной системе, после этого, зашел на обменник, в уязвимости которого, он не осведомлен. Последний, естественно, не вызывает никаких подозрений. Производиться обмен, но деньги в этом случае, поступают на кошелек мошенника, а не по адресу.


В следующей разновидности XSS-атак, мы должны быть "благодарны" социальным сетям, особенно, "Контактам" и "Одноклассникам". Да и в "Фэйсбуке" и "Твиттере", они так же, не редкость. Суть тут заключается в следующем. Мошенник, создает несколько фэйковых аккаунтов, и рассылает с них уже готовые XSS-ссылки. Когда пользователи перейдут по ним, скрипт разошлет, уже от их имени, зараженные ссылки, иную информацию. А злоумышленник, при этом, получит личные данные жертв.


Учитывая информацию, приведенную выше, начинающий веб-мастер сможет уберечь свой ресурс от очень многих не приятных моментов.

G 1 309 D 0
ОБСУЖДЕНИЕ
Вы должны Зрегистрироваться чтобы оставить комментарий.


     Имя: *
     E-Mail:
                                
  • winkwinkedsmilefuck
    belayfeelfellowlaughing
    lollovenorecourse
    requestsadtonguesearch
    cryingwhatkingangry
     Вопрос:
Вы робот?
     Ответ:*
     Введите код: *
Кликните на изображение чтобы обновить код, если он неразборчив
          

Панель авторизации

TOP 5 СТАТЕЙ

Спонсоры:

Cashback

А ТЫ ПОЛУЧАЕШЬ КЕШБЭК?

Cashback. Кешбэк. Cashback Aliexpress

Хостинг

МЕСЯЦ БЕСПЛАТНО!
Домен и хостинг. Бесплатный хостинг.

Последние комментарии

Опрос

Новый дизайн КОМП-АС


    

МАРИО & ТАНЧИКИ

Помнишь такие игры? ;)

Играть онлайн в лучшие онлайн игры.