W3Sidan.net

Cross site scripting (<em>kort XSS</em>) är ett av de vanligaste säkerhetsproblemen på webbsidor. XSS handlar om att bädda in {HTML}- eller {Javascript}kod i en sajts indata och på så sätt ändra sidans funktionaliteten efter attackerarens behov. Ofta handlar det bara om enkla sabotage, så som att förstöra webbsidans layout. Men XSS kan även användas för att stjäla information från användare. Med en kort Javascriptkod kan ett XSS-hål utnyttjas för att skicka användarens {cookie}s till attackeraren. En "cookiestealer"-attack som beskrivs ovan är oftast (finns undantag) inriktad på ett speciellt användarkonto. Det är i och för sig illa nog om det är administratörens konto det handlar om. Det går att nå ut till betydligt fler användare än så med XSS, nämligen genom en så kallad XSS-mask. Ett virus som sprider sig själv från dator till dator kallas för "mask", och det är precis likadant här. En XSS-mask sprider sig från användare till användare på en sida och utför det attackeraren vill. <h>Exempel</h> En oskyddad gästbok kan vara ett tänkbart mål för en attack. Besökare kan skriva inlägg och skicka iväg, datan behandlas inte alls. En helt vanlig besökare tänker antagligen inte på detta, men om en person av det lite elakare slaget skulle besöka gästboken skulle han eller hon kanske se en chans att få djävlas lite. Personen som för attacken kan nu skriva in valfri kod i textboxen och klicka på skicka. Exempelvis skulle följande kod kunna skickas: <code><script language="JavaScript"> window.location="http://www.w3sidan.net"; </script></code> Detta skulle resultera i att alla besökare (som har {Javascript} aktiverat) blir skickade till w3sidan istället för att komma till gästboken. Det kan ses som en ganska lindrig attack, men ägaren till gästboken förlorar en hel del besökare och sidan får ett sämre helhetsintryck. Då kan man fråga sig vad attackeraren tjänar på det. Svaret är kort och gott: ingenting. <h>Skydda dig</h> Att skydda din sida och dess användare från Cross site scripting-attacker är viktigt, men inte speciellt svårt. Allting handlar i grund och botten om en sak: att aldrig släppa igenom ogranskad data. Vad menas med det då? Jo, du måste kontrollera all data som skickas på sin sida och se efter om den innehåller några "farliga tecken" som krävs för en attack. Sådana tecken kan till exempel vara mindre- och större än-tecknet samt apostroftecknet (<, >, samt '). Du skulle kunna förbjuda dessa "farliga tecken" helt och göra det omöjligt att använda dem. Men ibland behöver man som användare faktiskt använda dessa tecken i en helt vanlig och harmonisk text. Så som tur är finns det funktioner som "avkodar" de farliga tecknen så de blir helt ofarliga. I {PHP} finns funktionen [htmlentities]{http://se.php.net/manual/en/function.htmlentities.php} som fungerar utmärkt. Motsvarigheten i {ASP} heter Server.HtmlEncode(). <h>Relaterat</h> *{SQL-injektion} *{Javascript} <h>Länkar</h><h>Källor</h> * http://www.swesecure.com/quick/xss.aspx * http://www.cgisecurity.com/articles/xss-faq.shtml * http://www.cert.org/advisories/CA-2000-02.html

Cross site scripting (<em>kort XSS</em>) är ett relativt vanligt säkerhetsproblemav de vanligaste säkerhetsproblemen på webbsidor. XSS handlar om att bädda in {HTML}- eller {Javascript}kod i en sajts indata och på så sätt ändra sidans funktionaliteten efter attackerarens behov. Ofta handlar det bara om enkla sabotage, så som att förstöra webbsidans layout. Men XSS kan även användas för att stjäla information från användare. Med en kort Javascriptkod kan ett XSS-hål utnyttjas för att skicka användarens {cookie}s till attackeraren. En "cookiestealer"-attack som beskrivs ovan är oftast (finns undantag) inriktad på ett speciellt användarkonto. Det är i och för sig illa nog om det är administratörens konto det handlar om. Det går att nå ut till betydligt fler användare än så med XSS, nämligen genom en så kallad XSS-mask. Ett virus som sprider sig själv från dator till dator kallas för "mask", och det är precis likadant här. En XSS-mask sprider sig från användare till användare på en sida och utför det attackeraren vill. <h>Exempel</h> En oskyddad gästbok kan vara ett tänkbart mål för en attack. Besökare kan skriva inlägg och skicka iväg, datan behandlas inte alls. En helt vanlig besökare tänker antagligen inte på detta, men om en person av det lite elakare slaget skulle besöka gästboken skulle han eller hon kanske se en chans att få djävlas lite. Personen som för attacken kan nu skriva in valfri kod i textboxen och klicka på skicka. Exempelvis skulle följande kod kunna skickas: <code><script language="JavaScript"> window.location="http://www.w3sidan.net"; </script></code> Detta skulle resultera i att alla besökare (som har {Javascript} aktiverat) blir skickade till w3sidan istället för att komma till gästboken. Det kan ses som en ganska lindrig attack, men ägaren till gästboken förlorar en hel del besökare och sidan får ett sämre helhetsintryck. Då kan man fråga sig vad attackeraren tjänar på det. Svaret är kort och gott: ingenting. <h>Skydda dig</h> Att skydda din sida och dess användare från Cross site scripting-attacker är viktigt, men inte speciellt svårt. Allting handlar i grund och botten om en sak: att aldrig släppa igenom ogranskad data. Vad menas med det då? Jo, du måste kontrollera all data som skickas på sin sida och se efter om den innehåller några "farliga tecken" som krävs för en attack. Sådana tecken kan till exempel vara mindre- och större än-tecknet samt apostroftecknet (<, >, samt '). Du skulle kunna förbjuda dessa "farliga tecken" helt och göra det omöjligt att använda dem. Men ibland behöver man som användare faktiskt använda dessa tecken i en helt vanlig och harmonisk text. Så som tur är finns det funktioner som "avkodar" de farliga tecknen så de blir helt ofarliga. I {PHP} finns funktionen [htmlentities]{http://se.php.net/manual/en/function.htmlentities.php} som fungerar utmärkt. Motsvarigheten i {ASP} heter Server.HtmlEncode(). <h>Relaterat</h> *{SQL-injektion} *{Javascript} <h>Länkar</h> *http://www.swesecure.com/quick/xss.aspx *http://www.cgisecurity.com/articles/xss-faq.shtml *http://www.cert.org/advisories/CA-2000-02.html

Cross site scripting (<em>kort XSS</em>) är ett relativt vanligt säkerhetsproblem på webbsidor. XSS handlar om att bädda in {HTML}- eller {Javascript}kod i en sajts indata och på så sätt ändra sidans funktionaliteten efter attackerarens behov. Ofta handlar det bara om enkla sabotage, så som att förstöra webbsidans layout. Men XSS kan även användas för att stjäla information från användare. Med en kort Javascriptkod kan ett XSS-hål utnyttjas för att skicka användarens {cookie}s till attackeraren. En "cookiestealer"-attack\"cookiestealer\"-attack som beskrivs ovan är oftast (finns undantag) inriktad på ett speciellt användarkonto. Det är i och för sig illa nog om det är administratörens konto det handlar om. Det går att nå ut till betydligt fler användare än så med XSS, nämligen genom en så kallad XSS-mask. Ett virus som sprider sig själv från dator till dator kallas för "mask",\"mask\", och det är precis likadant här. En XSS-mask sprider sig från användare till användare på en sida och utför det attackeraren vill. <h>Exempel</h> En oskyddad gästbok kan vara ett tänkbart mål för en attack. Besökare kan skriva inlägg och skicka iväg, datan behandlas inte alls. En helt vanlig besökare tänker antagligen inte på detta, men om en person av det lite elakare slaget skulle besöka gästboken skulle han eller hon kanske se en chans att få djävlas lite. Personen som för attacken kan nu skriva in valfri kod i textboxen och klicka på skicka. Exempelvis skulle följande kod kunna skickas: <code><script language=\"JavaScript\"> window.location=\"http://www.w3sidan.net\"; </script></code> Detta skulle resultera i att alla besökare (som har {Javascript} aktiverat) blir skickade till w3sidan istället för att komma till gästboken. Det kan ses som en ganska lindrig attack, men ägaren till gästboken förlorar en hel del besökare och sidan får ett sämre helhetsintryck. Då kan man fråga sig vad attackeraren tjänar på det. Svaret är kort och gott: ingenting. <h>Skydda dig</h> Att skydda din sida och dess användare från Cross site scripting-attacker är viktigt, men inte speciellt svårt. Allting handlar i grund och botten om en sak: att aldrig släppa igenom ogranskad data. Vad menas med det då? Jo, du måste kontrollera all data som skickas på sin sida och se efter om den innehåller några "farliga tecken"\"farliga tecken\" som krävs för en attack. Sådana tecken kan till exempel vara mindre- och större än-tecknet samt apostroftecknet (<, >, samt ').\'). Du skulle kunna förbjuda dessa "farliga tecken"\"farliga tecken\" helt och göra det omöjligt att använda dem. Men ibland behöver man som användare faktiskt använda dessa tecken i en helt vanlig och harmonisk text. Så som tur är finns det funktioner som "avkodar"\"avkodar\" de farliga tecknen så de blir helt ofarliga. I {PHP} finns funktionen [htmlentities]{http://se.php.net/manual/en/function.htmlentities.php} som fungerar utmärkt. Motsvarigheten i {ASP} heter Server.HtmlEncode(). <h>Relaterat</h> {SQL-injektion} <h>Länkar</h> *http://www.swesecure.com/quick/xss.aspx *http://www.cgisecurity.com/articles/xss-faq.shtml *http://www.cert.org/advisories/CA-2000-02.html

Cross site scripting (<em>kort XSS</em>) är ett relativt vanligt säkerhetsproblem på webbsidor. XSS handlar om att bädda in {HTML}- eller {Javascript}kod i en sajts indata och på så sätt ändra sidans funktionaliteten efter attackerarens behov. Ofta handlar det bara om enkla sabotage, så som att förstöra webbsidans layout. Men XSS kan även användas för att stjäla information från användare. Med en kort Javascriptkod kan ett XSS-hål utnyttjas för att skicka användarens {cookie}}s{cookie}s till attackeraren. En "cookiestealer"-attack\"cookiestealer\"-attack som beskrivs ovan är oftast (finns undantag) inriktad på ett speciellt användarkonto. Det är i och för sig illa nog om det är administratörens konto det handlar om. Det går att nå ut till betydligt fler användare än så med XSS, nämligen genom en så kallad XSS-mask. Ett virus som sprider sig själv från dator till dator kallas för "mask",\"mask\", och det är precis likadant här. En XSS-mask sprider sig från användare till användare på en sida och utför det attackeraren vill. <h>Relaterat</h> {SQL-injektion} <h>Länkar</h> *http://www.swesecure.com/quick/xss.aspx *http://www.cgisecurity.com/articles/xss-faq.shtml

Cross site scripting (<em>kort XSS</em>) är ett relativt vanligt säkerhetsproblem på webbsidor. XSS handlar om att bädda in {HTML}- eller {Javascript}-kod i en sajts indata och på så sätt ändra sidans funktionaliteten efter attackerarens behov. <h>Relaterat</h> {SQL-injektion} <h>Länkar</h> http://www.swesecure.com/quick/xss.aspx