Примеры реальных XSS атак

Существует такой сайт, как hackerone.com, где хакеры публикуют информацию о найденных уязвимостях в тех или иных системах, за что владельцы этих систем выплачивают им финансовое вознаграждение, в качестве благодарности, за найденные уязвимости. На даном сайте огромное количество тем, о найденных XSS уязвимостях, в том числе популярного в России сайта Вконтакте.

Это является показателем того, что защите от XSS атак сегодня, нужно уделять огромное внимание.

1) XSS уязвимость на сайте UBER-такси.

Данный пользователь нашёл XSS уязвимость на сайте developer.uber.com.

В качестве вознаграждения ему было выплачено 7,500 $ компанией uber. На рисунке 13 приведен пример найденной уязвимость на сайте developer.uber.com.

Рисунок 13 — XSS уязвимость на сайте UBER-такси.

2) XSS уязвимость в строке поиска на сайте mercantile.wordpress.org.

Данный пользователь нашёл XSS уязвимость на сайте mercantile.wordpress.org. В качестве вознаграждения ему было выплачено 275 $ компанией Wordpress. На рисунке 14 приведен пример найденной уязвимость на сайте mercantile.wordpress.org.

Рисунок 14 — XSS уязвимость в строке поиска на сайте mercantile.wordpress.org.

Выводы по третьей главе

Таким образом, в данной части исследования мы изучили весь спектр XSS атак, которые бывают пассивными, активными, классическими и перцестирующими, а сам алгоритм подготовки и проведения таких атак может быть представлен как:

• — поиск уязвимостей в системе;
• — выбор посредством XSS-вектора наиболее оптимальных методов воздействия на пользователя и, соответственно, передачи информации;
• — поиск оптимальных способов распространения XSS-вектора;
• — анализ и использование полученных в результате атаки данных.

В качестве потенциальных методов, позволяющих предупреждать XSS-атаки мы рекомендуем метод фильтрации пользовательских данных, а также метод преобразования спецсимволов.

Таким образом, мы выполнили все поставленные перед нами цели и задачи и считаем целесообразным сделать выводы по результатам исследования.