Σελίδα 1 από 2

διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 28 Μάιος 2011, 22:31
από stavrosLinux
Έχουν γίνει της μόδας τελευταία οι διαδικτιακές επιθέσεις τύπου XSS (περισσότερα http://el.wikipedia.org/wiki/Cross-site_scripting)

Πολύ συνοπτικά:
Αυτού του τύπου οι επιθέσεις δεν έχουν να κάνουν με το λειτουργικό σύστημα καθεαυτό αλλά με τον browser, δηλαδή επηρεάζουν KAI το ubuntu όπως τα windows (σχεδόν).

Οι τεχνολογίες που έχουν το πρόβλημα με τις επιθέσεις XSS είναι κυρίως JavaScript αλλά και Java, ActiveX, VBScript, Flash. Οι ActiveX και VBScript δεν μας ενδιαφέρουν γιατί είναι windows τεχνολογίες. Άρα κυρίως το πρόβλημα σε linux εστιάζεται σε JavaScript και Flash.

Μπορούμε να πάρουμε μέτρα για να ελαχιστοποιήσουμε τον κίνδυνο.

- χρησιμοποιούμε τους browsers Firefox και Chromium (είτε linux, είτε windows) :clap:
- τους ενημερώνουμε άμεσα (update) στον αμέσως επόμενο stable, καθώς και στο αντίστοιχο flash plugin. :|
- χρησιμοποιούμε https εκεί που πρέπει (email, twitter, τραπεζικές συναλλαγές κλπ).
- αποφεύγουμε "περίεργα" sites και αν πρέπει μπαίνουμε από virtualbox ή από κάποιο guest account που έχουμε δημιουργήσει. ;)
- δεν αποθηκεύουμε passwords στον browser γιατί μπορεί να υποκλαπούν. :geek:

Παρακάτω είναι μερικές από τις ρυθμίσεις για firefox και chromium που μπορούμε να κάνουμε:
Υ.Γ. είναι πιθανό μετά από update του browser να χρειαστεί να ξανακάνουμε τις ρυθμίσεις :roll:

http://imageshack.us/photo/my-images/545/001wn.png
http://imageshack.us/photo/my-images/825/002wc.png
http://imageshack.us/photo/my-images/717/002ao.png
http://imageshack.us/photo/my-images/545/002bm.png
http://imageshack.us/photo/my-images/827/003vi.png
http://imageshack.us/photo/my-images/703/004ekf.png


Ξέρω ότι υπάρχουν και πρόσθετα για τους browsers που κάνουν flashblock, noscript κλπ, αλλά με αυτές τις επιλογές ενεργοποιημένες δεν δουλεύει το μισό web, οπότε δεν είναι πολύ καλή λύση.

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 28 Μάιος 2011, 23:47
από the_eye
Ο κίνδυνος είναι για τον server που έχει την ευπάθεια. Δεν έχει να κάνει με χρήστες. Δεν κινδυνεύουμε εμείς που σερφάρουμε.

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 00:18
από mpekatsoula
Ο κίνδυνος είναι για τον χρήστη! Ο κώδικας εκτελείται στον client και όχι στον Server λολ.
Και δεν έχει κανένα ρόλο αν χρησιμοποιείται https, ή ΙΕ.
εδώ τα λέει αναλυτικά: https://www.owasp.org/index.php/Cross-s ... _%28XSS%29

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 00:25
από simosx
the_eye έγραψε:Ο κίνδυνος είναι για τον server που έχει την ευπάθεια. Δεν έχει να κάνει με χρήστες. Δεν κινδυνεύουμε εμείς που σερφάρουμε.


Σε XSS, ένας ευπαθής δικτυκός τόπος μπορεί να δεχθεί κώδικα π.χ. Javascript που βάζει ένας κακόβουλος χρήστης.
Για παράδειγμα, θα μπορούσα να γράψω

ON ON javascript:alert("Oh my God!") (λέμε τώρα)

και αν το παραπάνω, λόγω XSS, γίνει ενεργό Javascript, τότε οι επισκέπτες που έρχονται στη σελίδα θα βλέπουν ένα παράξενο Alert().
Και το javascript μπορεί να είναι κάτι άλλο, όπου υποκλέπτει κωδικούς και άλλα πράγματα.

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 00:34
από the_eye
Ο κίνδυνος που δημιουργείτε στο χρήστη είναι έμμεσος, αν επισκεφθεί έναν μολυσμένο server. Τότε ο "κακός" μέσω του μολυσμένου server μπορεί να υποκλέψει στοιχεία.

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 14:31
από stavrosLinux
mpekatsoula έγραψε:Ο κίνδυνος είναι για τον χρήστη! Ο κώδικας εκτελείται στον client και όχι στον Server λολ.
Και δεν έχει κανένα ρόλο αν χρησιμοποιείται https, ή ΙΕ.
εδώ τα λέει αναλυτικά: https://www.owasp.org/index.php/Cross-s ... _%28XSS%29


στο τέλος θα γράψουμε διαγώνισμα :lol:
Φυσικά και παίζει ρόλο το https στα πλαίσια της γενικότερης ασφάλειας και του τι μπορεί να κάνει το XSS !

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 17:39
από mpekatsoula
Στην γενικότερη ασφάλεια ναι. Το ότι κρυπτογραφείται το connection δεν παίζει κάποιο ιδιαίτερο ρόλο σε αυτό το είδος επίθεσης. Ότι είναι να γίνει θα γίνει, απλά θα είναι ecrypted.

στο τέλος θα γράψουμε διαγώνισμα

Χμμ ένα online test-άκι δεν θα ήταν κακή ιδέα για να τεστάρει όποιος θέλει τις γνώσεις του :P

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 18:13
από simosx
mpekatsoula έγραψε:Χμμ ένα online test-άκι δεν θα ήταν κακή ιδέα για να τεστάρει όποιος θέλει τις γνώσεις του :P


Έχεις webhosting όπου θα μπορούσες να βάλεις κάποια demo;
Ξέρεις αν υπάρχουν έτοιμα, μόνο και μόνο για εκμάθηση;

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 18:31
από mpekatsoula
Hosting έχω. Δεν έχω ψάξει αν υπάρχει κάτι τέτοιο όμως (ειδικά στα ελληνικά). Αν θέλετε πάντως να το τρέξουμε np

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

ΔημοσίευσηΔημοσιεύτηκε: 29 Μάιος 2011, 18:52
από simosx
mpekatsoula έγραψε:Hosting έχω. Δεν έχω ψάξει αν υπάρχει κάτι τέτοιο όμως (ειδικά στα ελληνικά). Αν θέλετε πάντως να το τρέξουμε np


Θα μας ενδιέφερε να εμβαθύνουμε. Αν μπορείς να βρεις κάτι εύκολο (π.χ. σε PHP) για επίδειξη του XSS, πιστεύω ότι θα βοηθήσει αρκετά όλους μας.
Δεν πειράζει αν αυτό που βρεις είναι στην Αγγλική γλώσσα, μιας και πρόκειται για επίδειξη μόνο.