|
13.01.2011 10:44 |
XSS Сross Site Sсriрting - межсайтовый скриптингЕсли кто еще не сталкивался с xss атакой могу поделиться своим опытом. XSS атака - это тип уязвимости на сайте, открытый для всех. Я сначала даже и не думал, как и с чем его едят. Потом яндекс мне выдал такую штуку - ваш сайт подвергся XSS атаке.
Долго я не мог понять в чем дело, решил письмо написать, и спасибо яндексу что рассказали. Оказалось что мой невинный "поиск" оказался круче ядерной бомбы. Через строчку поиска, в старом движке, можно было генерировать страницы, а в них использовать разные фишинговые ссылки и спам. Пришлось залатать эту дырку путем экранирования спецсимволов.
XSS генерирует сам сервер, если по какой-то причине туда попадают пользовательские скрипты. Специфика работы этой атаки заключается в том, что вместо атаки сервера хакеры использовали мой сайт в качестве средства атаки на клиента. XSS не имет ничего общего с CSS стилями. Cейчас XSS составляют около 15 % всех уязвимостей. Защита от вирусов и XSS атакЯ несколько раз замечал, что сайт просто подвисал наглухо, винил в этом старую версию движка. Оказалось, что глючил не сам движок сайта а сервак загибался, т.к. сайтик популярный и злоумышленники использовали его для DoS атак. Будьте бдительны, добавляйте свой сайт в раздел яндекс вебмастер, или гугл вебмастер, очень помогает с работой над сайтом. Если в этих сервисах появятся сообщение о вредоносных кодах, вирусах или атаках, вы сразу поймете в чем дело. Все эти дыры надо будет залатать, чтобы в след раз атаки не повторились снова.
|
Веб-дизайнер Роман Шумейко
