XS
SM
MD
LG
Государственный Университет Телекоммуникаций

Адрес:
03110, Украина
г. Киев, ул. Соломенская, 7
Контактная информация:
Государственный Университет Телекоммуникаций

Изучение на кафедре УИКБ недостатков фильтрации введенных данных ВЕБ-приложениями на практике от XSS атак

11:16, 13-11-2020

На кафедре "Управление информационной и кибернетической безопасностью" (УИКБ) уделяется постоянное внимание изучению результатов научных исследований по повышению защищенности информационной и кибернетической безопасности компьютерных систем и внедрению их в учебный процесс.

Искусство разработки приложений должно сопровождаться умением организовать ежедневные операции для поддержки работы этих приложений. Через открытый доступ к управлению web-приложением, количество хакерских атак на такие программы очень велика.

Одним из самых распространенных векторов атак на пользователей веб-ресурса (как обычных клиентов так и владельцев и ответственных за ресурс) является XSS атаки.

XSS (англ. Cross-Site Scripting - «межсайтовый скриптинг») заключается во введении на веб-страницы JavaScript-кода, который не был предусмотрен разработчиками, такой код будет выполняться каждый раз, когда пользователь открывает страницу.

На кафедре у студентов есть возможность собственноручно исследовать и протестировать на практике данный вектор атаки и связанные с ним уязвимости веб-приложений.

Для проведения тестирования используется онлайн-лаборатория на базе OWASP Juice Shop.

Для примера: Выявить уязвимость к XSS в лабораторном ВЕБ-приложении можно на странице с поиском, введя в поле поиска <script> alert ("XSS") </ script> и нажав кнопку поиска. ВЕБ-приложение с некорректной обработкой введенных данных, воспринимает введен запись как часть кода и отражает ее для корисутвача.

Рассмотреные вопросы используются в учебных дисциплинах кафедры: "Аудит систем защиты информации", "Организационное обеспечение защиты информации", "Управление безопасностью информационных сетей".

В следующий раз в новостях планируется ознакомление с рекомендациями по использованию Score Board, анализу JavaScript кода и провоцированию ошибок в работе веб-приложения для обнаружения новых уязвимостей.

Важное предупреждение: используйте полученные знания только с добрыми намерениями!
 

Справка

XSS атака

XSS (межсайтовый скриптинг) – одна из разновидностей атак на веб-системы, которая подразумевает внедрение вредоносного кода на определенную страницу сайта и взаимодействие этого кода с удаленным сервером злоумышленников при открытии страницы пользователем.

Термин с английского расшифровывается как Cross-Site Scripting, но при этом он получил аббревиатуру XSS, чтобы не было путаницы с CSS (каскадные таблицы стилей).

XSS глазами злоумышленника

  • Пассивная и активная Существует два типа XSS уязвимостей — пассивная и активная. ...
  • Кража Cookies. Это наиболее часто приводимый пример XSS-атаки. ...
  • Кража данных из форм ...
  • DDoS-атака (распределенная атака типа «отказ в обслуживании») ...
  • Подделка межсайтовых запросов (CSRF/XSRF) ...
  • XSS-черви ...
  • Безобидный XSS. ...

*****