Cross-site scripting (XSS) er en af de mest almindelige websårbarheder, der kan føre til phishing-angreb, session hijacking, website defacement og installation af malware på et offers computer.
På grund af deres skjulte natur går XSS-angreb ofte ubemærket hen i lang tid. Især fora og blogs bliver oftere kapret.
Du kan forsvare dig selv og din server mod denne sårbarhed med et par enkle og nemme metoder. For eksempel kan du omgå e-mails fra anonyme afsendere, og som hjemmesideoperatør skal du strengt begrænse din kommentarfunktion.
Hvad kan Cross-site scripting gøre?
En almindelig del af et XSS-angreb er indsamling af logindata. For eksempel kan angribere få adgang til din e-mail-indbakke eller bankkonto. Dataene bruges derefter til ulovlige aktiviteter.
En anden grund er, at du ønsker, at din computer skal blive en del af et botnet. I dette tilfælde er mange computere forbundet af angriberen for at deaktivere en eller flere servere med et målrettet DDoS-angreb.
Serversårbarheder muliggør cross-site scripting.
Serversårbarheder er den mest almindelige årsag til cross-site scripting-angreb. Eksperter er konstant travlt optaget af at finde sådanne huller og henlede opmærksomheden på dem. Dette tiltrækker igen angribere, der ønsker at kapre webstedet.
Der skal være en måde at interagere med din computer eller dit websted for at indsætte koden, før et angreb kan finde sted. Den mest almindelige måde at gøre dette på er via et kommentarfelt på en blog eller en indlægsboks på et forum. Antag, at tilsvarende ondsindet kode indsættes i denne kommentar eller dette forumindlæg. I så fald startes et script, der sikrer yderligere dataoverførsel eller åbner en bagdør for angriberen.
Forskellige typer af cross-site scripting
Dette er de tre mest almindelige typer af cross-site scripting:
Lokal XSS
Dette er den ældste og mest succesfulde metode til cross-site scripting: den besøgende klikker på et link, der fører dem til et forberedt websted. Den skadelige kode indlæses i den besøgendes browser, og scriptet udføres via adgangen. Den besøgende modtager normalt linket via e-mail. Nuværende e-mailprogrammer og sikkerhedssoftware filtrerer de fleste af disse angreb fra, men mange brugere klikker stadig på links fra ukendte afsendere. Dette omgår vigtige sikkerhedsmekanismer.
Vedvarende XSS
Dette kræver en sårbarhed på serveren. Angriberen manipulerer et link i databasen, som derefter gemmes permanent (persistently). Denne manipulation er næsten ikke synlig, men besøgende omdirigeres til andre websteder af den nye databasepost. Disse ligner ofte de originale sider. Sådan skal brugernes logindata udspioneres.
Reflekteret XSS
Brugeren kalder en manipuleret URL. Serveren accepterer denne ondsindede URL, fordi det nøjagtige indhold ikke kontrolleres. Der genereres derefter en dynamisk webside, der ligner den forventede side meget. I modsætning til persistent XSS manipuleres der dog ikke her nogen database, og der oprettes heller ikke noget statisk websted.
Hvordan beskytter man sig mod XSS?
Der er flere måder, du kan beskytte dig mod XSS-angreb:
Brug sikkerhedsforanstaltninger i stedet for at omgå dem.
Klik ikke for let på links, der lyder lokkende, som f.eks. konkurrencer eller ildevarslende sikkerhedsspørgsmål. E-mail, browsere og sikkerhedssoftware arbejder hånd i hånd for at holde dig sikker.
Hvis du modtager links, skal du først kontrollere kilden. Hvis du ikke genkender afsenderen, skal du blokere e-mailen.
Installer en firewall til webapplikationer
I denne konstant udviklende, truende verden kan firewalls vise sig at være et værdifuldt forsvarsværktøj. Firewalls har signaturbaserede sikkerhedsregler, der blokerer unormale anmodninger, der typisk findes i XSS-angreb.
Installer et godt WordPress-sikkerhedsplugin
Hvis den målrettede bruger er en administrator, er XSS-angreb farlige for webstedsejere. XSS kan bruges til at få loginoplysninger og derefter påvirke webstedet med malware. Et godt sikkerhedsplugin hjælper dig med at overvåge brugere for usædvanlig aktivitet, og de daglige scanninger vil hurtigt identificere eventuel malware.
Hvad kan jeg som hjemmesideoperatør gøre mod cross-site scripting?
I princippet er det nemt at beskytte dit websted. Disse tilgange kræver dog din opmærksomhed og bør ikke negligeres.
Aktivér kun nødvendige kommentarfunktioner
Hvis du driver en blog, bør du overveje at inkludere en kommentarfunktion. Selvom det forenkler interaktionen og liver op på din hjemmeside, indebærer det også en specifik risiko.
Fjern automatisk URL'er og kode.
For at komplicere XSS-kommentarer gælder der visse sikkerhedsforanstaltninger for WordPress, Joomla og lignende. Yderligere plugins hjælper dig med at forhindre disse angreb i vid udstrækning. De fleste plugins fjerner URL'er og anden eksekverbar kode fra kommentarerne og efterlader en besked om, at den er blevet fjernet. Hvis dit websted ikke er for stort, kan du også aktivere moderering af kommentarer og derefter evaluere dem manuelt.
Opdater altid software
Al software bør altid være opdateret. Dette starter med dit operativsystem og brugersoftwaren og slutter med serversoftwaren. Software til produktiv brug er ofte markeret som en "stabil gren". Selvom betasoftware lokker med nye funktioner og ofte også et mere fremragende design, tilføjes operationer kun foreløbigt, og problemer rettes først bagefter. Sikkerhedshuller kan i starten gå ubemærket hen.
Bemærk: Det anbefales i starten kun at teste betasoftware i et lukket miljø uden internetadgang for at undgå ekstern adgang.
Konklusion
Cross-site scripting (XSS)-angreb på WordPress er udbredte for at stjæle data fra besøgende på websteder. En webstedsadministrator bør tage ansvar for at forhindre brud på brugerdata. Du kan bruge en WordPress-firewall til at undgå potentielt farlige handlinger mod dine brugere. Disse plugins kan modvirke de negative virkninger af malware-sårbarheder.
Forslagene i denne artikel vil uden tvivl hjælpe dig med at beskytte dine digitale erhvervelser mod sikkerhedsbrud. Hvis du stadig har spørgsmål eller tvivl, så lad os det vide!
