XSS атака: що це таке та як захистити бізнес

4 лютого 2025

6 хв.

XSS атака: що це таке та як захистити бізнес

Про що:

Щодня у світі фіксується близько 600 мільйонів кібератак — повідомляє Microsoft у звіті за 2024 рік. Багатьом з них вдається запобігти, коли бізнеси використовують методи кібербезпеки. У цій статті ми розповідаємо про одну з найпопулярніших кібератак та як захиститися від неї.

Зміст

Кібернебезпека з 25 роками історії

Типи XSS атак: які вони та як відбуваються

JIRA під атакою: втрата прав адміністратора

British Airways: удар по репутації

Кіберзахист для бізнесу: як запобігти XSS атаці

Кіберзахист для користувачів: як зберегти дані

Кібернебезпека з 25 роками історії

XSS (Cross Site Scripting) — тип кібератаки, при якій зловмисники додають або змінюють код сторінки сайту. Це робиться для того, щоб вкрасти дані користувачів, скомпрометувати їхні облікові записи або отримати доступ до інших сайтів та систем за допомогою цих записів.

Як саме це відбувається? Спочатку хакери знаходять слабке місце — вразливість, що дозволяє отримати доступ до скрипту. Потім додають свій код — наприклад, за допомогою форми вводу коментаря, пошуку чи нової заявки. Після цього всі користувачі сайту стають потенційними жертвами.

XSS атаки з’явилися в 1999 році. Перші з них могли тільки викрадати файли cookie, та з часом кібератаки еволюціонували, і сьогодні деякі з них складні та автоматизовані. Назву для цих атак вигадали в Microsoft.

XSS входить у 10 найнебезпечніших загроз за версією OWASP — незалежної спільноти IT-фахівців, що займаються розвитком кібербезпеки. Їхній список виходить що чотири роки, нова добірка з’явиться у першій половині 2025 року.

Типи XSS атак: які вони та як відбуваються

Існує три типи XSS атак:

  • Відображені (Reflected XSS) — непостійні атаки. Вони спрацьовують, коли користувач переходить за URL-посиланням, створеним зловмисником. Шкідливий код передається як частина запиту і сайт не помічає небезпеку.

Наприклад: ви заходите на сайт та вводите в пошуку «новини». З’являється посилання: «перейти на сторінку новини». Якщо зловмисники замінили код, ви натиснете на це посилання і замість новин потрапите на інший сайт, де ваші дані буде викрадено.

  • Збережені (Stored XSS) — постійні атаки. Зловмисники заміняють частину кода на сайті, тож атака спрацьовує щоразу, коли сторінка завантажується. 

Наприклад: ви заходите на сайт, аби залишити відгук про книгу. На сторінці вже є коментарі людей, але один із таких коментарів було замінено на JavaScript-код. Через це cookie кожного, хто завантажує сторінку, копіюються на сайт зловмисників. 

  • Засновані на DOM (DOM-based XSS) — всі атаки, при яких хакери вводять шкідливий JavaScript-код в Document Object Model сторінки. Тобто якщо для відображених та збережених XSS хакеру треба взаємодіяти з HTML, то тут вони діють просто на сторінці в браузері.

Наприклад: зловмисник може ввести шкідливий код в URL сторінки, сайт сприйме це як команду і виконає її без перевірки змісту.

XSS атаки можуть бути спрямовані як на сайти на JavaScript, так і на інших мовах програмування — PHP, Python, Ruby.

JIRA під атакою: втрата прав адміністратора

У 2019 році була виявлена масштабна XSS атака на JIRA — інструмент, що допомагає керувати проєктами, відстежувати задачі та баги. Вразливість була пов’язана з тим, як обробляються дані у функції ContactAdministrators — зверненні до адміністраторів. Вважається, що хакери використовували спеціальне повідомлення, що впроваджувало шкідливий код, коли адміністратор переглядав запити. 

Скрипт міг викрадати дані адміністратора та виконувати дії від його імені — наприклад, створювати нові облікові записи з максимальними правами або змінювати налаштування JIRA. 

Як це виправили? Розробники випустили оновлення та спеціальні патчі, що усунули вразливе місце в системі та захистили майбутніх користувачів.

British Airways: удар по репутації

Авіакомпанія British Airways втратила 20 мільйонів фунтів стерлінгів — таку суму їй довелося відшкодувати клієнтам за рішенням суду, бо захист систем був недостатнім. XSS атака сталася у 2018 році — зловмисники отримали доступ до мережі за допомогою скомпрометованих облікованих даних співробітника Swissport, стороннього вантажоперевізника, у якого не було ввімкнено двофакторну автентифікацію. 

У результаті було злито дані понад 380000 облікових записів користувачів — імена, адреси, номери кредитних карток та CVV-коди.

Компанія провела детальне розслідування, усунула вразливість, оновила системи та компоненти, що були пов’язані з інцидентом. Були перевірені всі системи та посилена безпека — додаткове навчання працівників щодо захисту їхніх облікових записів.

Кіберзахист для бізнесу: як запобігти XSS атаці

Захистити бізнес від XSS та інших відомих і невідомих кібератак допоможе AntiDDos-захист від Київстар. Система працюватиме та реагуватиме на загрози в автоматичному режимі, без оператора.

AntiDDos забезпечить 100% перевірку всього DNS-трафіку та захистить від об'ємних, застосункових та аномальних атак на основі DNS. Використовує машинне навчання, аби відстежувати та блокувати небезпеки нового типу. AntiDDos побудовано на основі рішення FortiDDoS від Fortinet. Сервіс має чинний Атестат відповідності, зареєстрований Адміністрацією Держспецзв’язку України.

AntiDDos від Київстар

Кібербезпека

AntiDDos від Київстар

Комплексний захист IT-інфраструктури від DDoS-атак, а також від відомих і невідомих кіберзагроз. Працює в автоматичному режимі без втручання оператора.

Що ще можна зробити:

  • Фільтрувати та перевіряти всі дані, які користувачі вводять на сайті. Обмежте довжину вводу, щоб уникнути занадто довгих рядків, що можуть містити шкідливий код. Використовуйте бібліотеки, що екранують (escaping) спеціальні символи — перетворюють <, >, «, ` у HTML-еквіваленти, перед тим, як вивести їх на сторінку.
  • Використовувати Content Security Policy (CSP), аби встановити, з яких джерел браузер може завантажувати скрипти, стилі та інші ресурси.
  • Регулярно оновлювати всі компоненти сайту — фреймворки, бібліотеки та CMS, тестувати сайт на вразливість.
  • Навчати працівників кібербезпеки, перевіряти наявність двофакторної автентифікації та регулярну зміну пароля, надавати права тільки тим, кому вони потрібні для виконання посадових обов’язків.

Кіберзахист для користувачів: як зберегти дані

На жаль, ви не можете бути впевнені у безпеці кожного сайту в інтернеті. Проте здатні дещо зробити, аби захистити свої дані:

  • не переходьте за підозрілими посиланнями — наприклад, тими, що були надісланими електронною поштою чи в соціальних мережах із закликом проголосувати за дитину чи отримати легкі гроші;
  • не вводьте конфіденційну та особисту інформацію на сайтах, що здаються вам підозрілими;
  • використовуйте антивірус та регулярно оновлюйте браузер до останньої версії, аби оновити й вбудовані механізми захисту;
  • періодично очищайте кеш браузера та cookies — так ви видалите старі коди, серед яких могли бути шкідливі;
  • завжди використовуйте двофакторну автентифікацію там, де це можливо.

Зміст

Кібернебезпека з 25 роками історії

Типи XSS атак: які вони та як відбуваються

JIRA під атакою: втрата прав адміністратора

British Airways: удар по репутації

Кіберзахист для бізнесу: як запобігти XSS атаці

Кіберзахист для користувачів: як зберегти дані

Додайте коментар

Усі коментарі публікуються після модерації. Будь ласка, пишіть українською, без спаму та нецензурних слів.

Схожі статті