倫理的ハッキング-クロスサイトスクリプティング

クロスサイトスクリプティング(XSS)は、攻撃者が別のユーザーのブラウザで悪意のあるJavaScriptを実行できるようにするコードインジェクション攻撃です。

攻撃者は犠牲者を直接標的にしません。代わりに、被害者がアクセスするWebサイトの脆弱性を悪用して、Webサイトに悪意のあるJavaScriptを配信させます。被害者のブラウザからは、悪意のあるJavaScriptがWebサイトの正当な部分であるように見えるため、Webサイトは攻撃者に対する意図しない共犯者として機能しています。これらの攻撃は、HTML、JavaScript、VBScript、ActiveX、Flashを使用して実行できますが、最も使用されるXSSは悪意のあるJavaScriptです。

これらの攻撃は、アカウントの乗っ取り、ユーザー設定の変更、Cookieの盗難/中毒、または虚偽の広告からデータを収集し、DoS攻撃を引き起こす可能性もあります。

それがどのように機能するかを理解するために例を見てみましょう。によって取得した脆弱なWebページがありますmetasploitable機械。次に、XSSの赤い矢印で強調表示されているフィールドをテストします。

まず、簡単なアラートスクリプトを作成します

<script>  
   alert(‘I am Vulnerable’)  
</script>

次の出力が生成されます-

XSS攻撃の種類

XSS攻撃は、多くの場合3つのタイプに分けられます-

  • Persistent XSS, 悪意のある文字列は、Webサイトのデータベースに由来します。

  • Reflected XSS, 悪意のある文字列が被害者の要求に由来する場合。

  • DOM-based XSS, ここで、脆弱性はサーバー側のコードではなくクライアント側のコードにあります。

一般的に、クロスサイトスクリプティングは vulnerability scanners JavaScriptをその上に置くことによってすべての手動の​​仕事をする必要がないように

<script>  
   alert('XSS') 
</script>

Burp Suite そして acunetix 最高の脆弱性スキャナーと見なされます。

簡単なヒント

XSS攻撃を防ぐために、次の点に注意してください-

  • 非表示のフォーム、ヘッダー、Cookie、クエリ文字列など、すべてのフォームフィールドを確認して検証します。

  • 厳格なセキュリティポリシーを実装します。入力フィールドに文字制限を設定します。