XSS — «межсайтовый скриптинг» уязвимость, которую можно обнаружить на множестве веб-приложений. Ее суть проста, злоумышленнику удается внедрить на страницу JavaScript-код, который не был предусмотрен изначально.

В этом посте расскажу вам о некоторых тулсах по XSS, которые необходимо знать в 2023 году. Они предназначены для выявления и устранения уязвимостей XSS, в конечном итоге защищая веб-приложения от потенциальных атак.

1. XSStrike — это инструмент, который специализируется на обнаружении и использовании уязвимостей XSS в веб-приложениях. Он предлагает полный набор методов сканирования XSS и полезных нагрузок, что делает его ценным ресурсом для специалистов.

2. Dalfox — это инструмент, который специализируется на сканировании веб-приложений на предмет уязвимостей XSS (межсайтового скриптинга). Это предоставляет специалистам по безопасности и этичным хакерам быстрый и эффективный способ выявления и использования потенциально слабых мест XSS.

3. BruteXSS — это мощный инструмент перебора XSS (межсайтового скриптинга). BruteXSS является кроссплатформенным инструментом, который может запускаться в различных операционных системах.

Такая гибкость делает его доступным для более широкого круга специалистов.

Мы в телеграме!

Уязвимость XSS возникает, когда веб-приложения берут данные у пользователей и динамически включают их в веб-страницы без предварительной надлежащей проверки данных. Уязвимости XSS позволяют злоумышленнику выполнять произвольные команды и отображать произвольный контент в браузере пользователя-жертвы. Успешная атака XSS приводит к тому, что злоумышленник контролирует браузер или учетную запись жертвы в уязвимом веб-приложении.

Типы атак XSS

Существует три основных типа атак XSS. Эти:

1) Отраженный XSS, где вредоносный скрипт поступает из текущего HTTP-запроса.

2) Хранящийся XSS, где вредоносный скрипт поступает из базы данных сайта.

3) XSS на основе DOM, где уязвимость существует в коде на стороне клиента, а не в коде на стороне сервера.

Предотвращение уязвимостей XSS

Несмотря на то, что большинство современных веб-браузеров имеют встроенный XSS-фильтр, их не следует рассматривать как альтернативу защиты. Они не могут отлавливать все виды межсайтовых скриптовых атак и не являются строгими, чтобы не приводить к ложным срабатываниям, которые могут помешать правильной загрузке некоторых страниц. Фильтр XSS веб-браузера должен быть только «второй линией защиты», и идея состоит в том, чтобы минимизировать влияние существующих уязвимостей.

Для предотвращения уязвимостей безопасности XSS очень важно применять контекстно-зависимую выходную кодировку. В некоторых случаях этого может быть достаточно для кодирования специальных символов HTML, таких как открывающие и закрывающие теги. В других случаях необходимо правильно применять кодировку URL.

При отправке формы на сервер обязательно никак не обрабатываем введенные пользователем данные (иначе не будет магии). Нужно сохранить данные в базе данных (а как иначе можно передать другим ссылку на страницу и своровать куку?), а также вывести их на сайт (чтобы скрипт мог запуститься). Проверим, всё ли у нас получилось, введя простейший JavaScript-код:

Ура! Хотя нет, постойте: если использовать одинарные кавычки, в базе данных ничего не сохраняется! А вдруг хакер забудет заэкранировать их? Нельзя этого допустить! Добавим к запросу функцию, экранирующую специальные символы addslashes().

Вот теперь все хорошо сохраняется. Давайте усложним запрос и вставим код, который бы воровал куку пользователя и отправлял к нам на сервер.

Ничего не происходит. Почему это? Давайте откроем консоль (F12 обычно).

Хм, браузер запретил исполнять скрипт и просит указать какие-то заголовки. Еще чего! Я лучше сохраню введенный пользователем текст в базу данных, перезагружу страницу и буду выводить текст не из POST-массива, а из базы данных, тогда браузер ругаться не будет.

Ура, мы это сделали! Еще никогда провести XSS-атаку не было так просто!