Хроники кибербезопасности: XSS и CSRF

Привет! Интернет — это место, где мы делимся частичкой себя. Но иногда люди не берегут это доверие. Сегодня мы окунемся в дикий мир веб-безопасности и познакомимся с двумя печально известными игроками: межсайтовым скриптингом (XSS) и подделкой межсайтовых запросов (CSRF).

Понимание межсайтового скриптинга (XSS)

Пришло время представить нашего первого нарушителя спокойствия: XSS. Подумайте о том, что мы проверяем сайт, где мы можем оставлять комментарии. У нас все хорошо с этим сайтом, и мы печатаем с удовольствием. Но что, если кто-то вставит в комментарии какой-нибудь вредоносный код, например, в цифровом розыгрыше? Это в основном то, как работает XSS. Это похоже на подлого волка, который прячется в овечьей шкуре, внедряя плохой код на невинные веб-сайты.

Типы XSS-атак и их потоки

Нам нужно знать о 3 основных типах XSS-атак: постоянные, отраженные и на основе DOM. Давайте копнем немного глубже и посмотрим, как каждый из них работает.

Постоянный XSS

Представьте себе виртуальную доску объявлений, где каждый может прилепить стикер. Теперь предположим, что недобросовестный персонаж наклеил на эту доску ''. Не читайте эту заметку, иначе ваша личная информация будет украдена. Постоянный XSS — это то же самое. Именно здесь злоумышленник внедряет свой вредоносный код на сайт. Зараженная страница может заставить наш браузер запустить вредоносный код, который может украсть нашу личную информацию.

Отраженный XSS

Таким образом, в отраженной XSS-атаке плохой код скрыт в URL-адресе. Представьте, что ваш приятель отправляет вам ссылку на видео с котом. Но вместо видео у него та же чертова заметка, что и раньше. Если наш браузер считает, что заметка является частью видео с котом, он воспроизводит ее и подвергает опасности нашу личную информацию.

XSS на основе DOM

Этот тип атаки XSS называется атакой на основе DOM, когда вредоносный скрипт изменяет структуру веб-страницы, которую мы видим в нашем браузере (DOM). Это похоже на то, как хитрый вор возится с нашей сумкой, чтобы сделать невидимую дыру.

Смягчение XSS-атак

Теперь, когда нам показали скрытые ходы XSS-атак, что мы можем сделать, чтобы обезопасить себя? Веб-сайты должны фильтровать и очищать всю информацию, которую они получают, без исключений. Каждая нота получает…