Vad är Cross-Site Scripting?
Cross-site scripting (XSS) är en typ av kodinjektioner som finns i webbapplikationer. XSS riktar sig mot användarnas webbläsare och innebär att angripare injicerar skript på klientsidan som finns på webbsidor och som ses av andra användare.
En cross-site scripting sårbarheten används av angripare i syfteatt kringgå åtkomstkontroller. Cross-site scripting innebär att angriparen kan köra skadliga skript. Den här typen av sårbarheter stod för cirka 84% av alla säkerhetsproblem enligt Symantec 2007. Effekten kan variera från en småaktig olägenhet för en betydande säkerhetsrisk, beroende på hur känsliga de data som hanteras och säkerhet begränsningarrna som genomförs av webbplatsens ägare.
Skadliga skript
Cross-Site Scripting ör mycket vanligt säkerhetsproblem i webbaplikationer
Den här typen av attack kan göras på VBScript, ActiveX, Flash och JavaScript. Javascript används av de flesta webbplatser idag. För att kunna köra skadlig JavaScript-kod i offrets webbläsare, måste en angripare först hitta ett sätt att injicera en nyttolast på webbsidan som offret besök. Det blir allt vanligare att angripare använder social ingenjörskonst för att övertyga en användare att besöka en sårbar sida med en injicerad JavaScript.
Cross site script och WordPress
XSS och WordPress plugins
XSS är också vanligt förekommande i WordPress plugins och du bör se upp att inte använda okända och ovanliga plugins i WordPress där detta troligtvis förekommer i större utsträckning. I en undersökning av WordFence såg man att det förekom och var rätt vanligt i PHP koden och i ofiltrerad output.
Hur du skyddar dig mot Cross site scripting (XSS)
Man behöver gå igenom koden på webbsajten och speciellt kod som går mot extern innehåll. Genom att följa de grundläggande riktlinjerna på denna sida kan du undvika de vanligaste säkerhetsproblem som förs in koden.
Om du har en webbplats kan du skydda dig med verktyg som Acunetix Vulnerability Scanner.
Mer information:
https://www.owasp.org/index.php/XSS
