XSS. Межсайтовый скриптинг

Моя первая статья, Автор: mr.Penguin

Вступление

XSS - тип уязвимости, позволяющий вставить произвольный JavaScript код в тело страницы сайта.

XSS расшифровывается как Cross Site Scripting. Для термина используют сокращение "XSS", чтобы не было путаницы с "CSS" (каскадные таблицы стилей - приминяются в оформлении страницы сайта).

Для чего служит?

XSS служит для атаки пользователей, просматривающих зараженную страницу.

Чаще всего, данную уязвимость используют для кражи cookies (применяется для сохранения данных на стороне юзера) у пользователя.

Виды XSS Уязвимостей

Типы уязвимостей делятся на два вида.

#1 Активная XSS.

Данный тип уязвимости хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы зараженного сайта.

Чаще всего, активную XSS можно встретить в чатах/блогах/новостных лентах/комментариях.

#2 Пассивная XSS.

Пассивная XSS-атака получается при конкретном запросе к скрипту. Параметры передаются через GET и POST запросы.

В отличие от POST запроса, с GET`ом намного проще. На мой взгяд, пассивные xss - самые неудобные уязвимости для осуществления атаки на сайте.

XSS на примере

Чтобы найти пассивную XSS на сайте, достаточно подставить в форму ввода следующий код:

Если скрипт сработал и у вас вылезло окно с текстом "xss", то пассивная XSS уязвимость присутствует на сайте. Если у вас ничего не получилось, то не расстраивайтесь - можно попробовать и такой код:

Если ни один из представленных кодов не сработал, то скорее всего уязвимость отсутствует на сайте.

Рассмотрим на примере работу пассивной XSS.

Давайте зайдем на какой-нибудь сайт и найдем там поиск. Параметры передаются через GET запрос.

В форму ввода пишем

и нажимаем кнопку "Найти. В адресной строке у нас должно получится что-то вроде этого:

Если на сайте отсутствует фильтрация HTML-тегов, то у вас должно выскочить окно с текстом "xss", если окна нет, то пассивная xss на сайте отсутствует.

Вот готовый пример пассивной XSS на Online-переводчике -

Использование XSS для кражи cookies пользователя

Для того, чтобы украсть cookies пользователя, нам понадобиться онлайн-сниффер. Его можно найти в интернете, но можно использовать и свой.

Нам понадобиться два файла:

1) file.php - В нем и будет находится наш снифер

2) file.txt - файл, который будет записывать все данные с нашего сниффера.

Можно поменять расширение "php" на "gif", чтобы наш скрипт не вызывал никаких подозрений. Тут нам поможет ".htaccess", в котором мы пропишем следующее:

Вот и всё. По идее, в наш файл "file.txt" должны прийти кукисы пользователя.

Если у вас возникли вопросы по данной уязвимости или у вас не получается что-либо реализовать, то пишите в эту тему, я с радостью отвечу и помогу вам разобраться во всем.

Спасибо за внимание.

P.S. Не забывайте про фильтрацию HTML-тегов. Различные способы вставки JavaScript кода вы можете посмотреть здесь.

P.S2 Статья будет дополняться.

Вторая часть статьи: Проводим XSS через POST

Таких статей море, ничего нового =(

Эта статья рассчитана на новичков.

Я владею достаточной информацией про данный тип уязвимости, но решил написать всего лишь представление об этой уязвимости. Именно поэтому в конце написал "Если у вас возникли вопросы по данной уязвимости или у вас не получается что-либо реализовать, то пишите в эту тему, я с радостью отвечу и помогу вам разобраться во всем.", а это значит - постараюсь ответить на вопрос пользователя и может быть, Вы или кто-то другой узнает что-то новое.

Регистрация: 08.03.2012

Человек, который зарегистрировался только, чтобы написать статью, поделится знаниями! Браво =)

Таких статей для новичков и где люди пишут в конце "Если у вас возникли вопросы по данной уязвимости или у вас не получается что-либо реализовать, то пишите в эту тему, я с радостью отвечу и помогу вам разобраться во всем." МОРЕ! Так понятней?

а че ни слова не написал про обход фильрации при проведении атаки? проблема весьма актуальная. Выложил бы софт по проведению данной атаки для упрощения и автоматиизации процесса. Доведи до ума Статью если хочешь похвалы!

Софт? какой ещё софт сам расскажи что то интересно прям стало))

Ну вот и еще одна появилась. Я думаю, что никто не против. Пусть люди задают вопросы по XSS, глядишь и Вы что-нибудь новенькое узнаете (как я понимаю, Вы не гуру в XSS - в одной теме ваше сообщение видел).

Согласен, проблема весьма актуальная - поэтому совсем скоро начну писать вторую часть статьи, где Вы подробно сможете прочесть про фильтрацию. А насчет софта - думаю, что это лишнее. Ведь приятнее делать все своими руками.

Основные замечания по статье:

XSS делятся не на два типа, а на три:

1) Активные (хранимые)

2) Пассивные (отраженные)

3) DOM-based

Указанные векторы атак не подходят для надежной проверки на XSS-уязвимость. Желательно проверять вручную на фильтрацию определенных символов (в зависимости от места вывода), чтобы не вызвать подозрения у администрации сайта. В крайнем случае, можно использовать универсальные векторы XSS (где их найти, спросите у гугла)

Кража сессии - не единственная возможность XSS (чтение данных со страниц сайта, выполнение запросов, доступ к локальному хранилищу, базам данных)

Не написано о практической эксплуатации пассивных XSS (прямой переход по ссылке, шифрование, сокращение, скрытые фреймы)

Это неправильно:

www.site.ru будет восприниматься как директория относительно текущей.

Никаких действий с объектом img в дальнейшем не производится, поэтому можно сократить код так:

или с явным указанием протокола:

Непонятно, зачем менять расширение на .gif php-скрипту, сохраняющему куки.

M_script, согласен. Но я решил написать о двух основных типах XSS.

И тут я полностью согласен, но я думаю, что это простительно. Все-таки первая статья

В следующий раз постараюсь написать всё внятней.