XS
SM
MD
LG
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)


Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)

Вивчення на кафедрі УІКБ недоліків фільтрації введених даних ВЕБ-додатками на практиці від XSS атак

11:16, 13-11-2020

На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності інформаційної та кібернетичної безпеки комп'ютерних систем і  упровадженню їх в навчальний процес.

Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.

Одним із найпоширеніших векторів атак на користувачів ВЕБ-ресурсів (як звичайних клієнтів так і власників та відповідальних за ресурс) є XSS атаки.

XSS (англ. Cross-Site Scripting — «міжсайтовий скриптинг») полягає у введені на ВЕБ-сторінку JavaScript-коду, який не був передбачений розробниками, такий код буде виконуватись кожного разу, коли користувач відкриває сторінку.

На кафедрі у студентів є можливість власноруч дослідити та протестувати на практиці даний вектор атаки та пов’язані з ним вразливості ВЕБ-додатків.

Для проведення тестування використовується онлайн-лабораторія на базі OWASP Juice Shop.

Для прикладу: Виявити вразливість до XSS у лабораторному ВЕБ-додатку можна на сторінці із пошуком, ввівши у поле пошуку <script> alert ("XSS") </ script>, та натиснувши кнопку пошуку. ВЕБ-додаток із некоректною обробкою введених даних, сприймає введений запис як частину коду і відображає її для корисутвача.

Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.

Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.

Важливе попередження: використовуйте отримані знання лише з добрими намірами!
 

Довідка

XSS атака

XSS (міжсайтовий скриптинг) - один з різновидів атак на веб-системи, яка має на увазі впровадження шкідливого коду на певну сторінку сайту і взаємодію цього коду з віддаленим сервером зловмисників при відкритті сторінки користувачем.

Термін з англійської розшифровується як Cross-Site Scripting, але при цьому він отримав абревіатуру XSS, щоб не було плутанини з CSS (каскадні таблиці стилів).

XSS очима зловмисника

  • Пасивна та активна. Існує два типа XSS вразливостей - пасивна та активна. ...
  • Кража Cookies. Це найбільш частий приклад XSS-атаки. ...
  • Кража даних із форм ...
  • DDoS-атака (розподілена атака типу «відмова у обслуговуванні») ...
  • Підробка міжсайтових запитів (CSRF / XSRF)...
  • XSS-черві ...
  • Безобідний XSS. ...
     

*****

Читайте також
Переглядів: 4 171