Предотвращение межсайтовых сценарных атак

Предотвращение межсайтовых сценарных атак

Сегодня мы ответим на распространенный вопрос клиентов, который с каждым днем набирает популярность. Что такое межсайтовая сценарная атака? И разберем пути предотвращения межсайтовых сценарных атак.

Что такое межсайтовая сценарная атака?

Межсайтовая сценарная атака – это внедрение в веб-страницу вредоносного кода, который будет скрытно выполнен на компьютере пользователя. Специфика межсайтовой сценарной атаки заключается в том, что с помощью внедренного участка кода можно получить доступ к сессии либо авторизованных данных пользователя. С последующим доступом на управление данными этого пользователя.

Примеры межсайтовой сценарной атаки

Допустим, нам необходимо дать возможность комментирования блога или статьи, не беспокоясь о том, что содержащийся в комментарии код JS или Html создаст проблемы. Мы не можем ограничить ввод данных пользователю, потому что с помощью этой формы он должен свободно выражать свои мысли по поводу статьи. Но, мы можем убрать возможность вставки участков с HTML + JS ведь по сути никому кроме злоумышленников не понадобится вставлять в комментарий участки кода. Мы могли бы создать проверку на наличие данных участков и просто не допускать их на публикацию. Но, задумайтесь сколько условий пришлось бы нам использовать. Уйму!

Пути предотвращения межсайтовых сценарных атак

Как предотвратить межсайтовую сценарную атаку? На помощь приходит стандартный метод PHP. С помощью функции htmlentities() мы сможем экранизировать участки вредоносной вставки. Более подробно о данной функции можно найти в документации PHP.
В стандартных методах PHP существует пару функций с помощью которых можно экранизировать HTML. Простейшая это htmlspecialchars() – экранизирует четыре символа (< > “ и &) . Но именно функция htmlentities ( ) преобразует любые символы, которые имеют эквивалент сущности HTML. Имеется один нюанс, при преобразовании данная функция орудует набором символов UTF-8 , поэтому мы получим вместо вставки вредоносного кода участок из обычных символов. Таким образом мы сможем ограничить внедрение вредоносных участков кода в комментарии нашего блога. Но не стоит забывать о том что это лишь одна из возможных межсайтовых атак разновидности «внедрение кода». Существует еще DDOS-атаки, в этой статье мы постарались объяснить, как проверить на уязвимость серверную сайта.

 

  • Ihor FIlippov

    Привет все очень круто!


  • Добавить комментарий