На нашем портале ежедневно выкладываются материалы способные помочь студентам. Курсовые, шпаргалки, ответы и еще куча всего что может понадобиться в учебе!
Комплексная защита информационных систем. Лабораторная работа. XSS-уязвимости.
Цель работы: Изучить основные понятия в области защиты веб-сайтов от XSS-уязвимостей Содержание:Методический материал.Порядок проведения работы.Методический материал
Существующая статистика говорит о том что до 90% существующих сайтов подвержены воздействию уязвимости межсайтового скриптинга или как его еще называют XSS. В шкале рисков ХSS занимает следующую позицию:
XSS – представляет из себя модификацию веб-страницы в браузере клиента, путем сложения реальной страницы веб-сервера и так называемого XSS-вектора( т.е. кода включенного в веб-страницу со стороны).
Данная уязвимость представляет опасность и может нанести следующий ущерб: – Ущерб имиджу компании-держателя сайта при модификации информации предоставляемой пользователю сайта; – Возможность хищения конфиденциальных данных; – Возможность организации атак по типу «Отказ в обслуживании» (DDOS); – Возможность контроля пользовательского браузера, доступа к локальным файлам пользователя, при наличие уязвимостей в браузере клиента. Как видно из таблицы данная уязвимость имеет наибольшую сложность реализации защиты. Это связано с тем что основной и единственной защитой от XSS-атак, служит фильтрация поступающих данных. Поскольку данные могут быть представлены в различной форме, например в шестнадцатеричных или восьмеричных кодах, в url-кодировке и т.д. трудно составить таблицу запрещенных и разрешенных символов, и каждый раз эта таблица будет индивидуальна, кроме того исполняемый код XSS-вектора в разных браузерах может быть по разному исполнен.
К мерам защиты от XSS можно отнести: – фильтрация данных в исполняемом на сервере скрипте; – фильтрация данных специальными прокси-серверами стоящих между веб-сервером и клиентом (пример реализации mod_security). – выполнение страниц сайта в статической форме без использования скриптов исполняемых как на стороне сервера, так и на стороне клиента.
Порядок проведения работы: 1. Открыть виртуальную машину с операционной системой Linux. 2. Загрузить из сетевой папки каталог lab7 3. Перейти в каталог lab7, инсталлировать пакеты командой:./install.sh 4. Открыть файл командой gedit /var/www/index.php и набрать в нем следующий код: <html> <head> <title>XSS-Test</title> </head> <body> <div align="center">