http://www.multimediaexpo.cz/mmecz/index.php?action=history&feed=atom&title=Cross-site_scriptingCross-site scripting - Historie editací2026-05-02T00:43:12ZHistorie editací této stránkyMediaWiki 1.16.5http://www.multimediaexpo.cz/mmecz/index.php?title=Cross-site_scripting&diff=912328&oldid=prevSysop: + Nový článek...kvůli aktuální chybě InstantCommons2015-06-22T08:56:09Z<p>+ Nový článek...kvůli aktuální chybě InstantCommons</p>
<p><b>Nová stránka</b></p><div>'''Cross-site scripting (XSS)''' je metoda narušení [[World Wide Web|WWW]] stránek využitím bezpečnostních chyb ve [[Skriptovací jazyk|skriptech]] (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní [[JavaScript|javascriptový]] kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění, získávání citlivých údajů návštěvníků stránek nebo obcházení bezpečnostních prvků aplikace. Často je též využíván při [[phishing]]u tak, že je skrze XSS zranitelnosti uživateli ukázán jiný obsah na jinak důvěryhodné stránce.<br />
<br />
== Ukázky útoku ==<br />
=== Typ 1 ===<br />
Většinou se označuje jako '''lokální''' nebo '''DOM based.''' Lze ji využít i na statických stránkách a jde o neošetřené přenesení proměnné z [[Uniform Resource Locator|URL]] adresy do [[javascript]]u.<br />
Pro ilustraci si představme že máme html stránku s následujícím kódem:<br />
<SCRIPT><br />
var pos=document.URL.indexOf("jmeno=")+6;<br />
document.write("Ahoj "+document.URL.substring(pos,document.URL.length));<br />
</SCRIPT><br />
a na stránku vstoupíme přes standardní odkaz<br />
http://[[Uniform Resource Locator|URL]]/stranka.html?jmeno=Alice<br />
stránka standardně vypíše pouze „Ahoj Alice“. Útočník však může odkaz pozměnit na<br />
http://[[Uniform Resource Locator|URL]]/stranka.html?jmeno=<script>alert('Toto je úspěšný XSS útok.');</script><br />
a tím vykoná zákeřný kód.<br />
<br />
Tento vektor útoku (stejně jako u typu 2) stojí a padá na přístupu přes upravenou url a většinou je takto i snadno odhalitelný pomocí prosté logiky. Pokud na stránku přijdete přes normální odkaz, tak se zachová tak jak má. <br />
<br />
=== Typ 2 ===<br />
Označuje se jako '''non-persistent''' nebo '''reflected'''. Je postaven na úpravě části URL která se interpretuje do stránky jako její součást, například jako nadpis. Pokud do URL adresy přidáme svůj kód který není před interpretací upraven, tak se stránka v prohlížeči zachová, jako by námi vložený kód byl její součástí. Tato zranitelnost se týká především stránek s generovaným obsahem, pro příklad používáme [[php]] a někde ve zdrojovém kódu máme<br />
<div><br />
<?php echo $_GET['nadpis']; ?><br />
</div><br />
stačí uživateli podstrčit adresu upravenou například takto:<br />
http://[[Uniform Resource Locator|URL]]/stranka.php?nadpis=cokoliv<script>alert('Toto je úspěšný XSS útok.');</script><br />
=== Typ 3 ===<br />
Je označován jako '''persistent''', '''stored''' nebo '''second-order '''protože dojde k přímé a trvalé modifikaci obsahu stránky. Jde o často využívanou možnost, protože na takto napadené stránky nemusíte vstoupit přes upravený odkaz. Vzniká pokud je obsah stránky generován z [[databáze]]. Náš javascript jednoduše vložíme třeba jako součást komentáře - spolu s ním se uloží do databáze a je následně zobrazen všem lidem, kteří si takovýto komentář zobrazí.<br />
Ahoj, super <script>alert('Toto je úspěšný XSS útok.')</script>stránky!<br />
<br />
== Obrana ==<br />
=== Na straně serveru ===<br />
* Při vkládání dat od uživatele do HTML stránky odfiltrovat „nebezpečné“ znaky z uživatelského vstupu resp. je převést na příslušné [[HyperText Markup Language|HTML]] entity ( <code>&lt;</code> za <code>&amp;lt;</code>, <code>&gt;</code> za <code>&amp;gt;</code> atd.), na což lze použít ad hoc funkce (např. v jazyce [[PHP]] je to funkce [http://php.net/manual/en/function.htmlspecialchars.php htmlspecialchars]).<br />
* Pokud se jedná sice o textové parametry, ale z omezené množiny hodnot, lze zvážit indexace této množiny a přenášení pouze číselného indexu, který lze před výstupem (podle možností daného skriptovacího jazyka) implicitně přetypovávat na celé číslo.<br />
==== Účinný příklad obrany v jazyce PHP ====<br />
Pokud na stránce využíváme mnoho vstupních parametrů (superglobálních proměnných: $_POST, $_GET, ..), můžeme je ošetřit najednou pomocí následujícího skriptu:<br />
<source lang="php"><br />
/*<br />
Ošetření vstupních superglobálních proměnných<br />
*/<br />
function htmlspecialcharsRecursive(&$val) {<br />
/*<br />
Funkce pro rekurzivní ošetření hodnot i klíčů metodou htmlspecialchars <br />
*&$val reference na hodnotu<br />
*/<br />
if(is_array($val)) { //zjistí zda $val je pole<br />
$keys = array_keys($val); //načte všechny klíče tohoto pole<br />
foreach($keys As $key) { //projde celé pole<br />
$value = htmlspecialcharsRecursive($val[$key]); //pokračuje v rekurzi<br />
unset($val[$key]); //smaže původní klíč<br />
$val[htmlspecialchars($key)] = $value; //vytvoří prvek s ošetřeným klíčem i hodnotou v původním poli <br />
}<br />
}<br />
else <br />
$val = htmlspecialchars($val); //pokud $val není pole pouze ošetří hodnotu <br />
<br />
return $val; // vrací $val, nutné pro rekurzi<br />
} <br />
<br />
function fixSuperglobals() {<br />
/*<br />
Ošetří superglobální proměnné proti XSS<br />
*/<br />
$superglobals = array(&$_GET, &$_POST, &$_COOKIE, &$_REQUEST); //pole vstupních superglobálních proměnných<br />
foreach ($superglobals As &$process) { //projde pole <br />
htmlspecialcharsRecursive($process); //provede rekurzivní ošetření<br />
}<br />
//odstranění zbytečných proměnných<br />
unset($process); <br />
unset($superglobals);<br />
} <br />
<br />
<br />
fixSuperglobals(); //zavoláme funkci, která nám ošetří všechny vstupní superglobální proměnné<br />
<br />
/*<br />
Nyní jsou superglobální proměnné ošetřené proti Cross-site scripting. <br />
*/<br />
</source> <br />
Tento skript nám ošetří PHP kód proti '''Cross-site scripting (XSS)''' útokům. Pokud pracujeme ještě s databází, je nutné ošetřit skript také proti [[SQL injection]]!<br />
<br />
=== Na straně uživatele ===<br />
Na straně uživatele vpodstatě obrana neexistuje. Lze sice vypnout [[JavaScript]] ovšem mnoho stránek tím prakticky znefunkčníne a drtivá většina prohlížečů ji má zapnuto. Je třeba si ale uvědomit, že o zamezení možnosti cross-site scriptingu by se měl postarat skript na straně serveru.<br />
<br />
== Související články ==<br />
* [[SQL injection]] – podobný druh útoku na WWW aplikaci přes neošetřené vstupy<br />
* [[Cross-Site Request Forgery]]<br />
<br />
== Externí odkazy ==<br />
* [http://www.cgisecurity.com/articles/xss-faq.shtml The Cross-site Scripting FAQ]<br />
* [http://www.owasp.org/index.php/Cross-site_Scripting_(XSS) OWASP – Cross-site Scripting (XSS)]<br />
* [http://ha.ckers.org/xss.html Přehledný seznam většiny použitelných XSS scriptů]<br />
* [http://www.phpguru.cz/clanky/cross-site-scripting Podrobný článek o XSS a obraně proti němu v PHP]<br />
* [http://www.soom.cz/index.php?name=articles/show&aid=485&title=Pokrocile-techniky-XSS Obsáhlý článek věnovaný XSS]<br />
* [http://www.soom.cz/index.php?name=articles/show&aid=574&title=Pravni-aspekty-XSS-utoku Právní aspekty XSS útoků]<br />
* [http://www.soom.cz/data/Cross-Site_Scripting_v_praxi__Roman_Kummel.pdf Cross-site Scripting v praxi - zranitelnost]<br />
<br />
<br />
{{Flickr|Cross-site+scripting}}{{Článek z Wikipedie}}<br />
[[Kategorie:Počítačové útoky]]</div>Sysop