The web is rapidly developing, however common web applications still have problems. One of which is XSS (Cross-Site scripting), which took 7th place in OWASP‌-10 in 2017. We’ll talk about the vulnerability itself, exploitation methods and how to be protected from it.

1. Повышаем защищенность приложений от XSS

2. Вячеслав Москаленко
UI engineer
jason.rammoray@gmail.com
@jasonrammoray

3. XSS: cross-site scripting
Атака, направленная на пользователя
Через исполнение произвольного JavaScript кода в браузере
Различные векторы атаки: аттрибуты html элементов, script тэг в документе,
асихронная загрузка сценариев, ...
•
•
•

4. А что опасного?
Кража пользовательских данных
Угон учетной записи
Произвольные действия от имени пользователя
Перенаправление на вредоносный ресурс
Шпионаж за пользователем
Clickjacking
•
•
•
•
•
•

5. Виды XSS
DOM based
Stored
Reflected
•
•
•

6. Факты
7 место в рейтинге OWASP 2017
Детальный отчет positive technologies
•
•

7. И крупные игроки тоже под угрозой
Google: maps (реверс-инжиниринг формата сообщений protocols buffer)
Facebook: мобильный сайт (параметр cancel_url в url не был экранирован)
Valve: steam
•
•
•

8. Разломать, чтобы починить
Мы рассмотрим несколько возможных примеров атаки, а после закроем эти
уязвимости

9. Варианты защиты
Использовать шаблонизатор с контекстным экранированием (style, script,
content)
Экранирование выводимых данных, если шаблонизатор недоступен
Экранирование разметки при использовании innerHTML
Важные данные, хранимые в cookie, должны быть помечены флагом
HttpOnly
Никогда не доверять пользовательскому вводу
•
•
•
•
•

10. В дополнение к ним
Строгая настройка политики безопасности контента
Хранение текстов в виде конвертируемого в html формата (markdown,
deltas, и т.д.)
Отключение JavaScript, если приемлемо
•
•
•

11. Как искать XSS?
Браузерные расширения
xsser
•
•

12. Практика, практика и еще раз практика
Google xss game

13. <script>alert('Конец');</script>