Ο κόσμος αρχίζει να ξυπνάει κάτι που είναι γνωστό ως ευπάθεια ιστότοπου δέσμης ενεργειών μεταξύ ιστότοπων (XSS). Ενώ πιστεύω ότι είναι θετικό το γεγονός ότι το θέμα αντιμετωπίζεται σε ιστότοπους ανά τον κόσμο, δεν νομίζω ότι είναι πολύ καλό για μας να αγνοούμε το τι είναι. Μετά από όλα, οι περισσότερες επιθέσεις XSS μπορούν να προληφθούν από το δυνητικό θύμα. Στο διαδίκτυο, είναι δική σας ευθύνη να αγκαλιάσετε τον εαυτό σας ενάντια σε οποιαδήποτε απειλή, ώστε να μη γίνει θύμα. Για να καταλάβετε πώς μπορείτε να προστατεύσετε τον εαυτό σας από το XSS, πρέπει πρώτα να ξέρετε τι είναι το XSS και πώς μπορεί να σας επηρεάσει, και πώς να το αποτρέψετε.

Τι είναι το XSS;

Ο ορισμός είναι στο όνομά του. Μια επίθεση XSS εκτελείται τροποποιώντας μια διεύθυνση URL κατά τρόπο που να επιτρέπει την εισαγωγή ορισμένων σεναρίων σε αυτήν. Για παράδειγμα, μπορείτε να κάνετε έναν εντελώς διαφορετικό ιστότοπο να εμφανίζεται μέσα σε ένα πλαίσιο του προορισμού της διεύθυνσης URL.

Δείτε ένα παράδειγμα της τροποποιημένης διεύθυνσης URL:

Δείτε πού εισήχθη το σενάριο; Σε αυτό το παράδειγμα, είναι μάλλον εύκολο γιατί αρχίζει με "". Οι χάκερ κάνουν αυτό για να προσελκύσουν τους ανυποψίαστους παρευρισκόμενους σε σελίδες που μπορεί να καταλάβουν τα φυλλομετρητή τους.

Πώς επηρεάζει το XSS σας;

Το XSS μπορεί να χρησιμοποιηθεί με διάφορους τρόπους. Κάποιοι μπορεί να δημοσιεύσουν έναν σύνδεσμο στο Twitter που περιέχει την κακόβουλη διεύθυνση URL. Το Twitter κάνει το ήμισυ της δουλειάς τους για να καλύψει εν μέρει τη διεύθυνση URL. Οι σύνδεσμοι με βάση τα συμφραζόμενα σε αναξιόπιστα ιστολόγια και ιστότοπους ενδέχεται να περιέχουν διευθύνσεις URL που καλύπτονται από το "κείμενο αγκύρωσης" (που είναι ένας άλλος φανταχτερός τρόπος περιγραφής κειμένου που υπογραμμίζεται και μπλε).

Όταν κάνετε κλικ στον σύνδεσμο, μπορούν να συμβούν πολλά πράγματα. Σε ένα βέλτιστο σενάριο, θα βιώσετε μόνο μια "φάρσα", per se. Με άλλα λόγια, θα οδηγηθείτε σε μια σελίδα με μια δέσμη ψεύτικου περιεχομένου, ενδεχομένως δείχνοντας πίστωση στην ομάδα που πραγματοποίησε την επίθεση XSS. Σε ένα σενάριο χειρότερης περίπτωσης, το πρόγραμμα περιήγησής σας θα παρουσιάσει εφιάλτικα συμπτώματα. Μπορεί να έχετε αλλάξει την αρχική σελίδα σας και ενδέχεται να εμφανιστούν διάφορες ενοχλήσεις στον υπολογιστή σας ως αποτέλεσμα εκτέλεσης κακόβουλου λογισμικού.

Το XSS μπορεί επίσης να χρησιμοποιηθεί για τον εντοπισμό σας εγκαθιστώντας cookies στον υπολογιστή σας χωρίς τη συγκατάθεσή σας. Η συλλογή αυτών των δεδομένων θα μπορούσε να επιτρέψει στους χάκερ να κατανοήσουν καλύτερα μια «ψηφιακή δημογραφική» των ανθρώπων που στοχεύουν για μελλοντικές λοιμώξεις κακόβουλου λογισμικού. Σε μια τέτοια περίπτωση, ίσως να μην παρατηρήσετε τίποτα να συμβαίνει στον υπολογιστή σας ή την κινητή συσκευή σας καθόλου.

Πόσο επικίνδυνο είναι το XSS;

Όλα τα πράγματα που εξετάζονται, το XSS δεν είναι συνήθως πολύ επικίνδυνο. Μπορεί να είναι ενοχλητικό, αλλά δεν θα έχει μακροπρόθεσμες συνέπειες, τουλάχιστον όχι βραχυπρόθεσμα. Ωστόσο, προσέξτε τους συνδυασμούς μεταξύ των επιθέσεων XSS και άλλων ειδών κακόβουλων συμπεριφορών!

Για παράδειγμα, ας πούμε ότι το Facebook είναι ευάλωτο σε XSS. Ένας χάκερ μπορεί εύκολα να εισφέρει μια ψεύτικη σελίδα σύνδεσης στη διεύθυνση URL του Facebook. Θα συνδεθείτε με επιτυχία (αφού η ψεύτικη σελίδα μπορεί να στείλει τα διαπιστευτήριά σας στο Facebook και στη δική της βάση δεδομένων), αλλά ο χάκερ θα έχει τώρα το όνομα χρήστη και τον κωδικό πρόσβασής σας. Εδώ παρουσιάζεται ο πραγματικός κίνδυνος του XSS.

Πώς να προστατεύσετε τον εαυτό σας κατά του XSS

Μία από αυτές τις ημέρες, το XSS θα είναι απλώς ένα παρελθόν. Αλλά μέχρι τότε, θα πρέπει να μάθετε να αποφύγετε να πέσετε στην παγίδα XSS. Κάθε φορά που εισάγετε μια σελίδα, ρίξτε μια ματιά στη διεύθυνση URL. Αν υπάρχει κάτι που να δείχνει ότι υπάρχει ένα σενάριο εκεί μέσα (όπως οι χαρακτήρες που περιβάλλουν μια λέξη), τότε είναι σοφό να χρησιμοποιήσετε τη διακριτική σας ευχέρεια και ίσως να φύγετε. Επίσης, παρακολουθήστε τις διευθύνσεις URL σε συνδέσμους. Κάντε δεξί κλικ σε κάθε σύνδεσμο και αντιγράψτε το στο πρόχειρο. Επικολλήστε τη διεύθυνση URL στην εφαρμογή σημειωματάριάς σας και ελέγξτε την πριν ακόμη μπείτε.

Αν έχετε έναν ιστότοπο που αναπτύσσετε τον εαυτό σας, διαβάστε αυτό το εξαπατημένο φύλλο. Αυτό θα προστατεύσει εσάς και τους επισκέπτες σας από το XSS. Να είστε βέβαιος να ταχυδρομήσει το φύλλο εξαπατήσει σε οποιοδήποτε web developers ξέρετε. Θα το εκτιμούσαν.

Εάν έχετε περισσότερες ερωτήσεις σχετικά με το XSS, φροντίστε να το αφήσετε σε ένα σχόλιο παρακάτω!