Cross-Site-Scripting-Hacks in Web-Anwendungen
Cross-Site-Scripting (XSS) ist vielleicht das bekannteste Web-Schwachstelle, die Ihre Website gehackt können. XSS tritt auf, wenn eine Web-Seite Benutzereingabe zeigt - in der Regel über javascript-, die nicht ordnungsgemäß überprüft wird. Ein krimineller Hacker können die Vorteile der Abwesenheit von Eingangsfilterung nehmen und eine Webseite verursachen Schadcode auf jedem Computer des Benutzers auszuführen, der die Seite aufruft.
Zum Beispiel kann ein XSS-Angriff die von einem anderen Rogue Website-Benutzer-ID und Passwort Login-Seite angezeigt werden soll. Wenn Benutzer unwissentlich ihre Benutzer-IDs und Passwörter in der Login-Seite eingeben, werden die Benutzer-IDs und Passwörter in die Web-Server-Log-Datei des Hackers eingetragen.
Andere Schadcode kann eines Opfers Computer gesendet werden, und mit den gleichen Sicherheitsberechtigungen wie der Web-Browser oder E-Mail-Anwendung ausführen, die es auf dem system- den bösartigen Code ist sehen ein Hacker mit vollen Lese- / Schreibzugriff auf Browser-Cookies zur Verfügung stellen könnte, Browser-History-Dateien, oder erlauben sogar den Download / Installation von Malware.
Ein einfacher Test zeigt, ob Ihre Web-Anwendung anfällig für XSS ist. Suchen Sie alle Felder in der Anwendung, die Benutzereingaben (wie auf einer Anmeldung oder ein Suchformular), und geben Sie den folgenden javascript-Anweisung akzeptieren:
Wenn ein Fenster öffnet sich, dass liest XSS, die Anwendung ist anfällig.
Es gibt viele weitere Iterationen für die Nutzung XSS, wie diejenigen, erfordern Interaktion mit dem Benutzer über die javascript onmouseover Funktion. Wie bei SQL-Injection, die Sie wirklich brauchen eine automatisierte Scanner zu verwenden, um XSS zu überprüfen. Sowohl WebInspect und Acunetix Web Vulnerability Scanner haben einen tollen Job XSS zu finden. Sie neigen dazu, häufig verschiedene XSS Probleme zu finden, die ein Detail, das die Bedeutung unterstreicht der Verwendung mehrerer Scanner, wenn Sie können.
Eine andere Web Vulnerability Scanner, der bei der Aufdeckung XSS sehr gut, dass viele andere Scanner nicht finden, ist NTOSpider aus NT Ziele. NTOSpider funktioniert besser als andere Scanner bei authentifizierten Scans gegen Anwendungen durchführen, die Multi-Faktor-Authentifizierungssysteme verwenden. NTOSpider sollte auf jeden Fall als eine potentielle primären oder sekundären Scanner auf dem Radar sein. Denken Sie daran: Wenn es um Web-Schwachstellen kommt, desto mehr Scanner, desto besser!