is loading...

Контактна інформація:

01.

Блог

Запобігання міжсайтових сценарних атак

August 18, 2017
Коментарі (0)
242
Запобігання міжсайтових сценарних атак

Сьогодні ми відповімо на поширене питання клієнтів, яке з кожним днем ​​набирає популярність. Що таке міжсайтова сценарна атака? І розберемо шляхи запобігання міжсайтових сценарних атак.

Що таке міжсайтова сценарна атака?

Міжсайтова сценарна атака - це впровадження в веб-сторінку шкідливого коду, який буде приховано виконаний на комп'ютері користувача. Специфіка міжсайтової сценарної атаки полягає в тому, що за допомогою впровадженої ділянки коду можна отримати доступ до сесії або авторизованих даних користувача. З подальшим доступом на керування даними цього користувача.

Приклади міжсайтової сценарної атаки

Припустимо, нам необхідно дати можливість коментування блогу або статті, не турбуючись про те, що розміщений в коментарі код JS або Html створить проблеми. Ми не можемо обмежити введення даних користувачеві, тому що за допомогою цієї форми він повинен вільно висловлювати свої думки з приводу статті. Але, ми можемо прибрати можливість вставки ділянок з HTML + JS адже по суті нікому крім зловмисників не знадобиться вставляти в коментар ділянки коду. Ми могли б створити перевірку на наявність даних ділянок і просто не допускати їх на публікацію. Але, задумайтеся скільки умов довелося б нам використовувати. Силу-силенну!

Запобігання міжсайтових сценарних атак

Як запобігти міжсайтові сценарні атаки? На допомогу приходить стандартний метод PHP. За допомогою функції htmlentities () ми зможемо екранізувати ділянки шкідливої ​​вставки. Більш докладно про цю функцію можна знайти в документації PHP.
У стандартних методах PHP існує пару функцій за допомогою яких можна екранізувати HTML. Найпростіша це htmlspecialchars () - екранізує чотири символи (<> "і &). Але саме функція htmlentities () перетворює будь-які символи, які мають еквівалент суті HTML. Є один нюанс, при перетворенні дана функція орудує набором символів UTF-8, тому ми отримаємо замість вставки шкідливого коду ділянку зі звичайних символів. Таким чином ми зможемо обмежити використання шкідливих ділянок коду в коментарі нашого блогу. Але не варто забувати про те що це лише одна з можливих міжсайтових атак різновиди «впровадження коду». Існує ще DDOS-атаки.

Залиште коментар