XSS уязвимости находятся на одной из лидирующей позиции, в рейтинге рисков. Давайте разберемся что это такое и как защититься от этого. Если ваш сайт полностью статичен и не имеет системы управления, не обольщайтесь, существует множество рисков даже для таких сайтов. Современные сайты содержат системы управления будь это простая визитка или крупный портал. Браузер, который отображает страницы, так же содержит миллионы строк программного кода, который пишут обычные люди. В любом программном коде имеются ошибки, из-за которых программа может начать работать не так как задумывалось, этим и пользуются злоумышленники. Суть XSS уязвимости заключается в том, что в браузере жертвы загружается посторонний вредоносный код, который работает вместе с программой сайта. Сам вредоносный код может быть вставлен как на сервере из-за уязвимостей систем управления, так и внедрен из-за ошибок браузера. Сама по себе такая атака довольно сложная по сравнению с SQL инъекцией.
Особенно опасна такая атака на сайты, где имеются закрытые зоны, для входа в которые, требуется логин и пароль, обычно там размещается информация о платежах посетителя, его персональные данные и т.д. Сайты которые имеют всевозможные формы взаимодействия с посетителем, например, строка поиска по сайту, использующие данные других сайтов, например, авторизация через соцсети, в зоне максимального риска, почему? Дело в том что очень часто программисты не задумываются о том что данные из форм или других сервисов могут содержать вредоносный код, например, в строке поиска можно ввести код на JavaScript, например, alert(123) , если программист не позаботился об экранировании специальных симовлов, то после перезагрузки страницы этот код выполняется, и мы увидим всплывающее окно у себя в браузере! Получается мы выполнили сторонний скрипт, а ведь там может быть что угодно, вплоть до кражи идентификатора сессии, а это грозит кражей информацией данного посетителя! Конечно, это просто примитивный пример, но сути это не меняет. Представьте, если мы передадим фрагмент PHP код, он может выполниться уже на сервере и там сделать что угодно!
Как обезопасить себя от атак XSS
У вас наверняка возник вопрос, как обезопасить себя? Частично вы сможете обезопасить себя путем регулярного обновления своей операционной системы, и браузера в котором вы привыкли работать, это исключит атак связанных с ошибками в браузерах и системах. Если речь идет о вашем сайте, то здесь обычный владелец сам ничего не сможет сделать, нужно обращаться к разработчику для исправления ошибок и обновления программы сайта. Для защиты сайта обязательно нужно пропускать все поступающие извне данные через фильтры, валидаторы, экранировать специальные символы, в PHP есть множество функций для этого, никогда нельзя доверять сторонним ресурсам.
Вот здесь и возникает уже давно избитый вопрос, у кого заказывать сайт, у фрилансера не дорого, или в профессиональной веб-студии, но дороже. Наверное вы уже догадались, что фрилансера можно уже не найти, и вы останетесь один на один с проблемой.
