XSS атаки

13.01.2011

XSS Сross Site Sсriрting - межсайтовый скриптинг

Если кто еще не сталкивался с xss атакой могу поделиться своим опытом. XSS атака - это тип уязвимости на сайте, открытый для всех. Я сначала даже и не думал, как и с чем его едят. Потом яндекс мне выдал такую штуку - ваш сайт подвергся XSS атаке. Долго я не мог понять в чем дело, решил письмо написать, и спасибо яндексу что рассказали. Оказалось что мой невинный "поиск" оказался круче ядерной бомбы. Через строчку поиска, в старом движке, можно было генерировать страницы, а в них использовать разные фишинговые ссылки и спам. Пришлось залатать эту дырку путем экранирования спецсимволов.
XSS генерирует сам сервер, если по какой-то причине туда попадают пользовательские скрипты. Специфика работы этой атаки заключается в том, что вместо атаки сервера хакеры использовали мой сайт в качестве средства атаки на клиента. XSS не имет ничего общего с CSS стилями. Cейчас XSS составляют около 15 % всех уязвимостей.

Защита от вирусов и XSS атак

Я несколько раз замечал, что сайт просто подвисал наглухо, винил в этом старую версию движка. Оказалось, что глючил не сам движок сайта а сервак загибался, т.к. сайтик популярный и злоумышленники использовали его для DoS атак. Будьте бдительны, добавляйте свой сайт в раздел яндекс вебмастер, или гугл вебмастер, очень помогает с работой над сайтом.

Если в этих сервисах появятся сообщение о вредоносных кодах, вирусах или атаках, вы сразу поймете в чем дело. Все эти дыры надо будет залатать, чтобы в след раз атаки не повторились снова.



Оставить комментарий...

Добавить комментарий


Защитный код
Обновить