Уязвимость интернет проекта от бесплатных скриптов
В данной статье рассмотрим одну из распространенных уязвимостей интернет проекта, которая возникает по причине неоправданное использование скриптов (в основном бесплатных javascript).
Как это мило, когда заходишь на страницу какого-то интернет сайта, а там снегопад или листопад, заголовок страницы гласит: "Доброе утро, Вася! Ты зашел на мою страницу уже 10 раз, ты используешь Internet Explorer, а последний раз тут был вчера...", потом со всех сторон начинают вылетать банеры, попапы и т.д. и т.п.
Я, конечно же, слегка утрирую, однако, очень часто скриптовыми феньками слишком злоупотребляют даже опытные интернетчики!
Ну и что с того? – можете спросить Вы.
А вот что: одним из самых распространенных типов атак в интернете является XSS (Cross site scripting). Кто не очень хорошо дружит с инглишем "Cross site scripting" переводится как "межсайтовый скриптинг".
Давайте сейчас разберем, что это такое?
XSS - это вид хакерской атаки, когда злоумышленник вместо непосредственной атаки со своего сайта, использует уязвимый сайт в качестве средства атаки на клиента.
На практике это может выглядеть так: Во время первого захода на страницу сайта java-скрипт просит ввести в специальное окошко имя пользователя (встречались с таким? ;-)), при небольшой модификации хакером этот же скрипт в момент передачи на Ваш сайт имени пользователя может, в лучшем случае, параллельно передавать на сайт злоумышленника всевозможную информации о зашедшем пользователе, в худшем - запускать на компьютер юзера вирус любой сложности...
Причем, в случае обнаружения юзером такого вируса, как Вы думаете какова будет его реакция? :-)
В подтверждение своих слов могу сказать, что пару лет назад такая xss-атака была успешно произведена на сайт очень известного рунетовского онлайн предпринимателя, которому я сообщил о наличии активного "трояна" на главной странице сайта спустя всего пару дней после его появления, однако, как я узнал позже, эта пара дней стоила потери более десятка подписчиков и активных покупателей.
А причиной всему был маленький javascript, взбунтовавшийся против своего хозяина...
Поэтому не стоит, без особой необходимости, втыкать на страницы своего сайта различные украшательства в виде скриптов.
Олег Маслюк
|