is loading...

Контактная информация:

01.

Блог

Предотвращение межсайтовых сценарных атак

18 августа 2017 г.
Комментарии (0)
243
Предотвращение межсайтовых сценарных атак

Сегодня мы ответим на распространенный вопрос клиентов, который с каждым днем набирает популярность. Что такое межсайтовая сценарная атака? И разберем пути предотвращения межсайтовых сценарных атак.

Что такое межсайтовая сценарная атака?

Межсайтовая сценарная атака – это внедрение в веб-страницу вредоносного кода, который будет скрытно выполнен на компьютере пользователя. Специфика межсайтовой сценарной атаки заключается в том, что с помощью внедренного участка кода можно получить доступ к сессии либо авторизованных данных пользователя. С последующим доступом на управление данными этого пользователя.

Примеры межсайтовой сценарной атаки

Допустим, нам необходимо дать возможность комментирования блога или статьи, не беспокоясь о том, что содержащийся в комментарии код JS или Html создаст проблемы. Мы не можем ограничить ввод данных пользователю, потому что с помощью этой формы он должен свободно выражать свои мысли по поводу статьи. Но, мы можем убрать возможность вставки участков с HTML + JS ведь по сути никому кроме злоумышленников не понадобится вставлять в комментарий участки кода. Мы могли бы создать проверку на наличие данных участков и просто не допускать их на публикацию. Но, задумайтесь сколько условий пришлось бы нам использовать. Уйму!

Предотвращение межсайтовых сценарных атак

Как предотвратить межсайтовую сценарную атаку? На помощь приходит стандартный метод PHP. С помощью функции htmlentities() мы сможем экранизировать участки вредоносной вставки. Более подробно о данной функции можно найти в документации PHP. В стандартных методах PHP существует пару функций с помощью которых можно экранизировать HTML. Простейшая это htmlspecialchars() – экранизирует четыре символа (< > “ и &) . Но именно функция htmlentities ( ) преобразует любые символы, которые имеют эквивалент сущности HTML. Имеется один нюанс, при преобразовании данная функция орудует набором символов UTF-8 , поэтому мы получим вместо вставки вредоносного кода участок из обычных символов. Таким образом мы сможем ограничить внедрение вредоносных участков кода в комментарии нашего блога. Но не стоит забывать о том что это лишь одна из возможных межсайтовых атак разновидности «внедрение кода». Существует еще DDOS-атаки.

Оставьте комментарий