Межсайтовый скриптинг (XSS)

30 января, 2026, 21:32

Межсайтовый скриптинг (Cross-Site Scripting, XSS) — это тип уязвимости веб-приложений, который позволяет злоумышленнику внедрять и выполнять произвольный вредоносный JavaScript-код в контексте браузера другой жертвы (пользователя легитимного сайта). Атака происходит, когда приложение некорректно обрабатывает пользовательский ввод (без валидации, экранирования или фильтрации) и включает этот ввод в выдаваемую веб-страницу, что приводит к исполнению скрипта в браузере пользователя.

Возможности и типы XSS-атак:

  • Кража сессионных cookies и учётных данных: Вредоносный скрипт может получить доступ к document.cookie и передать злоумышленнику сессионные идентификаторы, токены аутентификации или данные, введённые пользователем в формы (логины, пароли).
  • Подмена содержимого страницы (дефейсмент): Изменение внешнего вида сайта, вставка ложной информации, фишинговых форм или политических лозунгов.
  • Перенаправление на вредоносные сайты: Автоматическое перенаправление пользователя на фишинговый или заражённый сайт.
  • Кейлоггинг и запись действий пользователя: Перехват нажатий клавиш, движений мыши и другой активности на странице.
  • Взаимодействие с уязвимым сайтом от имени жертвы: Выполнение действий на сайте (отправка сообщений, изменение настроек профиля, совершение транзакций) с правами авторизованного пользователя.
  • Распространение вредоносного ПО: Использование уязвимостей браузера для загрузки и выполнения эксплойтов.

Типы XSS-уязвимостей:

  • Отражённый (Reflected) XSS: Наиболее распространённый тип. Вредоносный скрипт является частью запроса пользователя (например, в параметре URL, POST-данных или заголовке) и немедленно «отражается» в ответе сервера. Для эксплуатации требуется, чтобы жертва перешла по специально сформированной ссылке.
  • Хранимый (Stored/Persistent) XSS: Наиболее опасный тип. Вредоносный скрипт сохраняется на сервере (в базе данных, комментариях, профилях пользователей, сообщениях форума) и затем автоматически выполняется в браузере каждого пользователя, который просматривает заражённую страницу.
  • DOM-based XSS: Уязвимость возникает исключительно на стороне клиента. JavaScript приложения неправильно обрабатывает данные, контролируемые пользователем (например, из URL-фрагмента #), и динамически изменяет DOM-дерево страницы, что приводит к выполнению кода. Серверный ответ при этом не изменяется.

XSS является одной из самых распространённых и опасных веб-уязвимостей, стабильно занимая высокие позиции в OWASP Top 10. Защита от XSS требует многоуровневого подхода:

  1. Экранирование (кодирование) выходных данных: Преобразование специальных символов (<>&"') в их HTML-сущности (&lt;&gt;&amp;&quot;&#x27;) перед вставкой пользовательских данных в HTML. Контекст (HTML, атрибут, JavaScript, CSS, URL) определяет правила экранирования.
  2. Валидация и санитизация ввода: Применение «белых списков» допустимых символов и шаблонов для всех пользовательских данных, отказ от использования опасных функций типа innerHTMLdocument.write()eval() с непроверенными данными.
  3. Content Security Policy (CSP): Мощный механизм безопасности на уровне браузера, который позволяет разработчикам объявить, из каких источников разрешена загрузка скриптов, стилей и других ресурсов. Эффективно блокирует выполнение встроенных (inline) скриптов и скриптов с неподтверждённых доменов, даже если злоумышленнику удалось внедрить вредоносный код.
  4. Установка флагов безопасности в cookies: Использование атрибутов HttpOnly (запрет доступа к кукам через JavaScript), Secure (передача только по HTTPS) и SameSite (ограничение межсайтовой отправки куков).
  5. Регулярное тестирование: Проведение ручного и автоматизированного тестирования (с помощью DAST-сканеров и инструментов типа Burp Suite, ZAP) на наличие XSS-уязвимостей.

XSS-атаки часто используются в комбинации с социальной инженерией для повышения эффективности (например, рассылка фишинговых писем со ссылками на отражённый XSS) и являются ключевым компонентом многих комплексных атак на веб-приложения.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Упоминания