Cross-site scripting hacks dans les applications Web

Cross-site scripting (XSS) est peut-être la vulnérabilité du Web le plus connu qui peut obtenir votre site piraté. XSS se produit quand une page Web affiche l'entrée d'utilisateur - généralement via javascript- qui ne sont pas correctement validé. Un hacker criminel peut profiter de l'absence de filtrage d'entrée et provoquer une page Web pour exécuter du code malveillant sur l'ordinateur de tout utilisateur qui consulte la page.

Par exemple, une attaque XSS peut afficher le nom d'utilisateur et mot de passe de connexion la page d'un autre site voyous. Si les utilisateurs entrent inconsciemment leurs ID utilisateur et les mots de passe dans la page de connexion, les ID utilisateur et mots de passe sont entrés dans le fichier journal du serveur Web de l'intrus.

Autre code malveillant peut être envoyé à l'ordinateur d'une victime et exécuté avec les mêmes privilèges de sécurité que le navigateur Web ou une application e-mail qui est l'affichage sur le Système- le code malveillant pourrait fournir un pirate en pleine lecture / écriture accès aux cookies de votre navigateur, fichiers d'historique du navigateur, ou même permettre le téléchargement / installation de logiciels malveillants.

Un test simple permet de savoir si votre application web est vulnérable à XSS. Recherchez tous les champs de l'application qui acceptent les entrées de l'utilisateur (comme sur un formulaire de connexion ou de recherche), et entrez l'instruction javascript suivant:

Si une fenêtre apparaît qui lit XSS, l'application est vulnérable.

image0.jpg

Il ya beaucoup plus d'itérations pour exploiter XSS, telles que celles nécessitant l'interaction de l'utilisateur via le javascript onmouseover fonction. Comme avec l'injection de SQL, vous avez vraiment besoin d'utiliser un scanner automatisé pour vérifier XSS. Les deux WebInspect et Acunetix Web Vulnerability Scanner font un excellent travail de trouver XSS. Ils ont souvent tendance à trouver différents problèmes XSS, un détail qui souligne l'importance de l'utilisation de plusieurs scanners quand vous le pouvez.

image1.jpg

Un autre scanner de vulnérabilité web qui est très bon à découvrir XSS que de nombreux autres scanners ne trouveront pas est NTOSpider partir Objectifs NT. NTOSpider fonctionne mieux que les autres scanners à effectuer des scans authentifiés contre les applications qui utilisent des systèmes d'authentification multi-facteurs. NTOSpider devrait certainement être sur votre radar comme un scanner primaire ou secondaire potentiel. Rappelez-vous: Quand il vient aux vulnérabilités Web, les scanners plus sera le mieux!


» » » » Cross-site scripting hacks dans les applications Web