Jump to content

XSS-червь

, XSS-червь иногда называемый межсайтового скриптинга вирусом . [1] — это вредоносная (или иногда невредоносная) полезная нагрузка, обычно написанная на JavaScript , которая нарушает безопасность браузера и распространяется среди посетителей веб-сайта с целью постепенного заражения других посетителей. [2] Впервые они были упомянуты в 2002 году в связи с уязвимостью межсайтового скриптинга в Hotmail . [3]

Концепция

[ редактировать ]

XSS-черви используют уязвимость безопасности, известную как межсайтовый скриптинг (или сокращенно XSS ) на веб-сайте, заражая пользователей различными способами в зависимости от уязвимости. Такие функции сайта, как профили и системы чата, могут быть затронуты XSS-червями при неправильной реализации или без учета безопасности. Зачастую эти черви специфичны для одного веб-сайта и быстро распространяются, используя определенные уязвимости.

Уязвимости межсайтового скриптинга обычно используются в виде червей на популярных социальных или коммерческих веб-сайтах, таких как MySpace , Yahoo! , Orkut , Justin.tv , Facebook и Twitter . Эти черви могут использоваться со злыми намерениями, давая злоумышленнику возможность украсть личную информацию, предоставленную веб-сайту, например пароли или номера кредитных карт.

Примеры

[ редактировать ]

Несколько XSS-червей затронули популярные веб-сайты.

Самый червь

[ редактировать ]
Основная статья: Сэми (компьютерный червь)

Червь Samy, крупнейший известный XSS-червь, заразил более 1 миллиона профилей MySpace менее чем за 20 часов. Автору вируса был предъявлен иск, и он заключил соглашение о признании вины в совершении уголовного преступления. [4]

Червь Justin.tv

[ редактировать ]
График, показывающий прогресс XSS-червя, затронувшего 2525 пользователей Justin.tv

Justin.tv представлял собой сайт видеокастинга с активной пользовательской базой около 20 тысяч пользователей. Эксплуатированная уязвимость межсайтового сценария заключалась в том, что поле профиля «Местоположение» не было должным образом очищено перед его включением на страницу профиля.

Поле профиля «Местоположение» было очищено, если оно было включено в заголовок страницы профиля, но не в само поле в теле страницы. Это означало, что авторы червя, чтобы добиться скрытности и увеличить время жизни и распространение червя, должны были автоматически удалять полезную нагрузку XSS из заголовка страницы из кода червя, который уже был скрыт комментариями.

После правильной разработки червя он был запущен примерно в субботу, 28 июня 2008 г., 21:52:33 UTC, и завершился в воскресенье, 29 июня 2008 г., 21:12:21 UTC. Поскольку целевой социальный веб-сайт не был особенно активным (по сравнению с другими популярными целями XSS-червя), червь заразил в общей сложности 2525 профилей примерно за 24 часа.

Червь был обнаружен за несколько часов до того, как он был успешно удален, и на основании записанных данных (из-за первоначального назначения червя для исследовательских целей) червь смог заразить незараженные профили после того, как они были принудительно обработаны разработчиками Justin.tv. . После исправления уязвимости червь был еще раз очищен, и его можно было легко удалить. Однако это показывает способность червя адаптироваться и распространяться даже после контратаки.

Другие конкретные факторы, на которые указывают графики и данные, опубликованные злоумышленниками, включают социальную активность и отсутствие новых незараженных пользователей в течение определенного периода времени.

Червь Orkut "Бомбовая суббота"

[ редактировать ]

Orkut, сайт социальной сети, также пострадал от XSS-червя. Зараженные пользователи получают записку, содержащую слова «Бом Сабадо» ( португальский , «Счастливая суббота»). Google пока не прокомментировал ситуацию. [ нужна ссылка ]

Ссылки

[ редактировать ]
  1. ^ Алкорн, Уэйд (25 сентября 2005 г.). «Вирус межсайтового скриптинга» . BindShell.net. Архивировано из оригинала 23 августа 2014 года.
  2. ^ Фагани, Мохаммад Реза; Саиди, Хосейн (2009). «XSS-черви социальных сетей». 2009 Международная конференция по вычислительной науке и инженерии . стр. 1137–1141. дои : 10.1109/CSE.2009.424 . ISBN  978-1-4244-5334-4 . S2CID   14451635 .
  3. ^ Беренд-Ян Вевер. «Ошибка XSS на странице входа в Hotmail» .
  4. ^ Манн, Джастин (31 января 2007 г.). «Myspace рассказывает о приговоре Сами Камкару» . Techspot.com.

См. также

[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=XSS_worm&oldid=1192000709"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: c91f4d4fd7a222d3388da5836427d46f__1703631420
URL1:https://arc.ask3.ru/arc/aa/c9/6f/c91f4d4fd7a222d3388da5836427d46f.html
Заголовок, (Title) документа по адресу, URL1:
XSS worm - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)