תוכן עניינים:
הגדרה - מה המשמעות של XSS חור?
חור XSS הוא יישום אינטרנט שמעביר תוכן דינמי למשתמשים עם פגיעות באבטחת מחשב. יישום זה הוא סקריפטים חוצה אתרים (XSS), והוא מאפשר לתוקף לנצל את הנתונים הסודי של המשתמש מבלי להעביר מנגנון בקרת גישה כגון מדיניות ממוצא זהה. פגם זה ידוע יותר כנקב XSS.
Techopedia מסביר את XSS Hole
לדוגמה, המשתמש עשוי להיתקל בהיפר-קישור ביישום אינטרנט שמצביע על תוכן זדוני כלשהו. המשתמש רשאי ללחוץ על הקישור ולהוביל לדף אחר המכיל עלון כלשהו או עלון דוא"ל. דף זה אוסף מידע על משתמשים בצורת סיסמה. זה גם מייצר דף פלט זדוני שמציין תגובה מזויפת המותאמת להופעה מקורית למשתמש. ניתן להשתמש לרעה בנתונים שהזין המשתמש או שניתן יהיה לחטוף את מושב המשתמש על ידי גניבת עוגיות. בהתבסס על הרגישות של הנתונים שנאספו, סקריפט בין-אתרים יכול לנוע בין פגיעות בלבד לפרצה אבטחתית רצינית. לאחר ניצול פגיעות ה- XSS, התוקף עשוי לעקוף את מדיניות בקרת הגישה של הארגון.
הרעיון של סקריפטים חוצה אתרים מבוסס על אותה מדיניות מקורית. אותן מדיניות מקוריות קובעות כי דפדפן אינטרנט המשתמש ב- JavaScript יכול לגשת לתכונות ושיטות שונות השייכות לאותו אתר ללא הגבלות. תוקפים זדוניים יכולים לנצל את המושג של אותה מדיניות מקורית על ידי החדרת קוד זדוני לאתר באמצעות JavaScript. כאשר משתמשים עוקבים בדפי האינטרנט, התוקפים עשויים לאסוף כמה מידע שימושי למשתמש כגון שם משתמש או סיסמא.
לפי הסטטיסטיקה שנאספה על ידי סימנטק בשנת 2007, סקריפטים בין אתרים מהווים 80 אחוז מכל מתקפות האבטחה שבוצעו באמצעות מחשבים. ישנם שלושה סוגים של סקריפטים בין אתרים:
- XSS לא מתמיד: הסקריפט הבלתי מתמשך של הסקריפט בין אתרים נראה במהלך בקשות HTTP בהן הלקוח מטמיע נתונים בבקשת HTTP. כאשר השרת משתמש בנתונים שנשלחו על ידי הלקוח לצורך יצירת דפים, חורי ה- XSS יכולים להיות פעילים אם הבקשה לא חולקה כראוי. דפי HTML מורכבים הן מתוכן והן מהמצגת. אם המשתמש הזדוני מוסיף תוכן שלא אושר, אז מתרחש הזרקת סימון. המשתמש יסכן את האבטחה שלו על ידי הזנת מידע המבוקש על ידי הקוד הזדוני. התוקף יכול להטעות את המשתמש בכתובת אתר אחרת, שעשויה להכיל וירוס מתוחכם יותר ולרכוש מידע משתמש חשוב.
- XSS מתמשך: התוכן הזדוני שהוזרק על ידי התוקף נשמר בצד השרת וכל בקשות הלקוח הנוספות ניגשות לתוכן שהשתנה ובכך מהווה סיכון ביטחוני חמור. לדוגמה, פורומים מסוימים מאפשרים למשתמש לפרסם הודעות מעוצבות ב- HTML. לכן, תוקף יכול להטביע קוד JavaScript כדי להציג תיבת טקסט זדונית לאיסוף מידע כמו סיסמא. התוקף עשוי גם להגדיר את קוד ה- JavaScript לשמירה ולהעברה של כל סיסמה שהוזנה בשדה הטקסט.
- מבוסס DOM מבוסס XSS: מודל אובייקט המסמך (DOM) הוא מבנה עץ המייצג את כל התגים המופיעים במסמך התואם לתקני XML. DOM משמש ב- JavaScript כדי לגשת לתווי HTML ותוכן בתגיות בתוכנה. תוקף יכול להזרים חתיכת קוד JavaScript זדונית המכילה הצהרות DOM מתאימות כדי לגשת ולשנות מידע חשוב על משתמשים. לדוגמה, התוקף עשוי להשתמש ב- DOM כדי להפנות מחדש את פרטי המשתמש על ידי הגשה לא ראויה לאתר זדוני של צד שלישי.
