XSS-червь, иногда называемый межсайтовым скриптингом вирус, представляет собой вредоносную (или иногда не вредоносную) полезную нагрузку, обычно написанную на JavaScript, которая нарушает безопасность браузера для распространения среди посетителей веб-сайта в попытке прогрессивно заразить других посетителей. Впервые они были упомянуты в 2002 году в связи с уязвимостью межсайтового скриптинга в Hotmail.
Черви XSS используют уязвимость системы безопасности, известную как межсайтовый скриптинг (или сокращенно XSS) внутри веб-сайта, заражая пользователей различными способами в зависимости от уязвимости. Такие функции сайта, как профили и чат-системы, могут быть затронуты XSS-червями, если они реализованы неправильно или безотносительно к безопасности. Часто эти черви специфичны для одного веб-сайта и быстро распространяются за счет использования определенных уязвимостей.
Уязвимости межсайтового скриптинга обычно используются в виде червей на популярных социальных или коммерческих сайтах, таких как MySpace, Yahoo!, Orkut, Justin.tv, Facebook и Twitter. Эти черви могут использоваться со злым умыслом, давая злоумышленнику возможность украсть личную информацию, предоставленную веб-сайту, например пароли или номера кредитных карт.
Несколько червей XSS поразили популярные веб-сайты.
Червь Samy, самый крупный известный червь XSS, заразил более 1 миллиона профилей MySpace менее чем за 20 часов. На автора вируса был подан иск, и он заключил соглашение о признании вины за совершение уголовного преступления.
Джастин. tv - это сайт, посвященный трансляциям видео, с активной пользовательской базой около 20 тысяч пользователей. Уязвимость межсайтового скриптинга, которая была использована, заключалась в том, что поле профиля «Местоположение» не было должным образом очищено перед его включением на страницу профиля.
Поле профиля «Местоположение» было очищено при включении в заголовок страницы профиля, но не в фактическом поле в теле страницы. Это означало, что авторы червя, чтобы добиться скрытности, чтобы увеличить время жизни и распространение червя, должны были автоматически удалить полезные данные XSS из заголовка страницы из кода червя, который уже был скрыт комментариями.
После надлежащей разработки червь был запущен примерно в субботу, 28 июня 2008 г., 21:52:33 UTC, и завершился в воскресенье, 29 июня 2008 г., 21:12:21 UTC. Поскольку целевой социальный веб-сайт не был особенно активен (по сравнению с другими популярными целями-червями XSS), червь заразил в общей сложности 2525 профилей примерно за 24 часа.
Червь был обнаружен за несколько часов до того, как он был успешно удален, и на основании данных, которые были записаны (из-за первоначального намерения червя для исследовательских целей), червь смог заразить незараженные профили после их принудительной дезинфекции. от разработчиков Justin.tv. После исправления уязвимости червь был продезинфицирован еще раз, и его можно было легко удалить. Однако это показывает способность червя адаптироваться и распространяться даже после контратаки.
К другим частным факторам, на которые указывают графики и данные, опубликованные злоумышленниками, относятся социальная активность и отсутствие новых, незараженных пользователей в течение определенного периода времени.
Социальная сеть Orkut также была поражена червем XSS. Зараженные пользователи получают записку со словами «Bom Sabado» (португальский, «Счастливая суббота»). Google еще не прокомментировал ситуацию.