Вы здесь

Эксплуатация XSS-уязвимостей названа самым легким способом взлома сайтов

Опубликовано: вт, 02/12/2014 - 04:12
XSS

Агентство High-Tech Bridge обнародовало отчет о проанализированных XSS-уязвимостях. В частности, эксперты агентства заявляют, что данная разновидность уязвимостей остается наиболее распространенной среди веб-приложений. Однако разработчики почему-то мало уделяют внимания защите от XSS-уязвимостей и нейтрализации последствий таких кибератак.

Данное обстоятельство подтверждается также тем, что публичная онлайн-база XSS-уязвимостей (находится на XSSPosed.org) хранит информацию о порядке 60000 неисправленных XSS-брешей, многие из которых находятся на весьма посещаемых web-ресурсах, включая медиа и государственные web-ресурсы. Не случайно портал OWASP считает такие уязвимости наиболее распространенными разновидностями брешей веб-приложений.

Эксплуатируя XSS-уязвимость, киберпреступник может заставить жертву пройти на сайт с размещенным XSS-эксплоитом. Например, AJAX-опции позволяют хакерам похищать cookies с любых онлайн-ресурсов, подконтрольным киберпреступникам.

И хотя для установления подобного контроля киберзлодеям понадобится заполучить администраторские права к этим сайтам, эксперты отмечают, что сейчас взлом какого-либо ресурса представляет для хакеров довольно тривиальную задачу. XSS-атаки опасны еще и потому, что от жертвы не требуется выполнения никаких действий, а при большинстве таких атак жертва даже не знает о случившимся нападении, для которого хакеру достаточно произвести незаметное изменение главной страницы атакованного ресурса, чтобы сделать атаки таргетированными. И когда потенциальная жертва придет на такой инфицированный сайт с определенной сети (принадлежащей банку или правительственной структуре), то на его страницах будут содержаться XSS-эксплоиты. И вот тут уже понадобится помощь не только по ремонту компьютеров в Ярославле, но и полиции, а также службы банка.

Иногда, впрочем, XSS-эксплоиты используются в целях загрузки зловредного ПО, когда пройдя по будто бы подлинной ссылке, жертва компрометирует собственные же данные, и ПК оказывается зараженным.