Det är skillnad på XSS och XSS

Det är skillnad på XSS och XSS Cross-site scripting innebär kortfattat att en användare på en sårbar webbsida kan attackera en annan användare av samma webbsida. Det hela bygger på förtroende; din lokala ICA-handlare är sårbar eftersom jag kan gå in och lägga ett förgiftat äpple i fruktavdelningen som du sedan köper och äter. Du skulle aldrig ha ätit äpplet om jag gav det till dig direkt men eftersom du litar på ICA och inte har någon möjlighet att avgöra om det är ett äkta ICA-äpple så är det här ett effektivt sätt att förgifta dig.

I verkligheten är det förstås lite mer komplicerat. Det finns i grunden två sorters XSS-attacker: reflected och persistant. Reflected är oerhört vanligt förekommande, jag skapar en URL till en sårbar sida, URL:en innehåller attackkoden och när du klickar på länken studsar koden på sidan och du åker dit. Det är den här sorten som XSSed samlar på och just nu finns 36 000 XSS-sårbarheter registrerade. En försvarlig mängd.

Den andra sorten, persistant, har ingenting med länkar att göra. Där är det helt enkelt så att en attack mot en webbsida leder till att attackkoden sparas och sedan visas för besökare. Varje besökare. Nu blir förgiftad så fort du sätter foten i ICA-butiken, vare sig du gillar äpplen eller inte!

Folk accepterar generellt inte vilken skillnad det är på reflected XSS och persistant XSS. Det är jämförbart med att hindra Adam från förorten att åka till jobbet, och att sänka hela gröna tunnelbanelinjen.

Lyckligtvis är den här sorten synnerligen ovanlig... förutom när den kommer i form av SQL injection. Det är en fin gräns mellan persistant XSS och SQL injection där det är möjligt att skriva till databasen. Angripare kunde inte bry sig mindre.

Samsung.se hackar (ovetandes) sina kunder.

Reflected XSS är inget att ligga vaken om nätterna för, även om du driver en sida med många besökare. Persistant däremot...

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0