Wat is een XSS-aanval en wat kun je eraan doen?
De wereld begint wakker te worden met iets dat bekend staat als een cross-site scripting (XSS) -kwetsbaarheid. Hoewel ik geloof dat het een goede zaak is dat het probleem wordt aangepakt op websites over de hele wereld, vind ik het niet erg goed voor ons om onwetend te zijn over wat het is. Immers, de meeste XSS-aanvallen zijn te voorkomen door het potentiële slachtoffer. Op het internet is het uw verantwoordelijkheid om uzelf te wapenen tegen elke dreiging, anders wordt u het slachtoffer. Om te begrijpen hoe u uzelf tegen XSS kunt beschermen, moet u eerst weten wat XSS is en hoe het u kan beïnvloeden, en vervolgens hoe u dit kunt voorkomen.
Wat is XSS?
De definitie staat in de naam. Een XSS-aanval wordt uitgevoerd door een URL zodanig aan te passen dat bepaalde scripts erin kunnen worden geïnjecteerd. U kunt bijvoorbeeld een geheel andere website weergeven in een frame van de bestemming van de URL.
Bekijk een voorbeeld van de gewijzigde URL:
Zie je waar het script is ingespoten? In dit voorbeeld is het vrij eenvoudig omdat het begint met "". Hackers doen dit om nietsvermoedende omstanders naar pagina's te lokken die hun browsers kunnen kapen.
Hoe beïnvloedt XSS u?
XSS kan op verschillende manieren worden gebruikt. Sommigen posten misschien gewoon een link op Twitter met de schadelijke URL. Twitter doet het halve werk voor hen door de URL gedeeltelijk te verbergen. Contextuele links binnen onbetrouwbare blogs en websites kunnen URL's bevatten die worden gemaskeerd door de 'anchor-tekst' (wat een andere mooie manier is om tekst te beschrijven die onderstreept en blauw is).
Wanneer u op de link klikt, kan een aantal dingen gebeuren. In het beste geval zul je op zichzelf een "grap" ervaren. Met andere woorden, u wordt doorverwezen naar een pagina met een heleboel nep-inhoud, waarmee u misschien de groep die de XSS-aanval uitvoerde, lof toonde. In het slechtste geval zal uw browser nachtmerrieachtige symptomen vertonen. Mogelijk is uw startpagina gewijzigd en kunnen verschillende irritaties op uw computer optreden als gevolg van uitgevoerde malware.
XSS kan ook worden gebruikt om u te traceren door cookies op uw computer te installeren zonder uw toestemming. Door deze gegevens te verzamelen, kunnen hackers een beter begrip krijgen van een "digitale demografie" van de mensen die ze willen gebruiken voor toekomstige malware-infecties. In een dergelijk geval merk je misschien helemaal niets van wat er op je computer of mobiele apparaat gebeurt.
Hoe gevaarlijk is XSS?
Alles bij elkaar genomen is XSS meestal niet erg gevaarlijk. Het kan vervelend zijn, maar het zal geen langetermijngevolgen hebben, althans niet op de korte termijn. Pas echter op voor combinaties tussen XSS-aanvallen en andere soorten kwaadaardig gedrag!
Laten we zeggen dat Facebook kwetsbaar is voor XSS. Een hacker kan gemakkelijk een valse inlogpagina injecteren in de URL van Facebook. U zou zich succesvol aanmelden (aangezien de nep-pagina uw referenties naar zowel Facebook als zijn eigen database kan verzenden), maar de hacker heeft nu uw gebruikersnaam en wachtwoord. Dit is waar het ware gevaar van XSS zich voordoet.
Hoe jezelf te beschermen tegen XSS
Een van deze dagen is XSS gewoon een ding van het verleden. Maar tot die tijd moet je leren voorkomen dat je in de valstrik van XSS terechtkomt. Telkens wanneer u een pagina opent, bekijkt u de URL. Als er iets is dat aangeeft dat er een script in zit (zoals de "" karakters rondom een woord), dan is het verstandig om uw discretie te gebruiken en misschien te verlaten. Bekijk ook de URL's van koppelingen. Klik met de rechtermuisknop op elke koppeling en kopieer deze naar uw klembord. Plak de URL in je kladblok-applicatie en controleer hem voordat je hem indient.
Als u een website heeft die u zelf aan het ontwikkelen bent, lees dan deze spiekbrief. Dit zal u en uw bezoekers beschermen tegen XSS. Zorg ervoor dat je de cheatsheet mailt naar eventuele webontwikkelaars die je kent. Ze zouden het op prijs stellen.
Als je nog vragen hebt over XSS, laat het dan achter in een reactie!