Вебмайстер
Содержимое сайта и партнерские программы
Партнерские программы
Безопасность сайта

XSS-атаки

Что такое XSS-атака

XSS — тип уязвимости интерактивных информационных систем в интернете. Существует несколько видов XSS-атак. XSS-атака может быть направлена на кражу личных данных, таких как cookies, паролей и т.д., или внедрять код скриптов и ссылок на страницы сайта. Подробную информацию о том, что такое XSS-атака, вы можете найти в Википедии или интернете.

Яндекс уведомляет вебмастеров, подтвердивших права на управление сайтом на сервисе Яндекс.Вебмастер, о попытке злоумышленников создать мусорные страницы или страницы со ссылками на посторонние ресурсы.

Как устранить уязвимость на сайте

Единой инструкции по защите сайта от XSS-атаки не существует, всё зависит от особенностей системы управления сайтом и сервера, на котором он расположен. Необходимо определить и описать все данные, которые могут быть получены извне, включая данные из смежных систем. Для всех данных определяется их синтаксис и возможное содержимое.

Необходимо принять решение, разрешать ли использовать теги внутри пользовательского ввода. Если ввод разрешен, то надо точно описать, какие именно и с какими ограничениями. Надо отчетливо представлять себе, какие данные и в каких местах могут появиться.

После этого определяются правила фильтрации всех переменных перед выводом. Правила фильтрации определяются требованиями к содержимому и синтаксису данных, а также возможному месту из отображения на странице.

Как запретить индексирование страниц, созданных в результате XSS-атаки

Подробную информацию о правилах составления файла robots.txt вы найдете в разделе Помощи.

Исключение сайта из поиска из-за XSS-атаки

Если на сайте не используется недобросовестных приемов продвижения сайтов в поисковых системах (поискового спама), то он не исключается из поиска целиком. К индексированию запрещаются только страницы, созданные в результате XSS-атаки.

Как отписаться от сообщений об XSS-атаке

Вы можете отключить эту опцию на странице настроек сервиса Яндекс.Вебмастер.

В коде указанных страниц никаких "чужих" элементов нет. Почему пришло сообщение?

В результате XSS-атаки может формироваться большое число страниц без ссылки на сторонние ресурсы. Такие страницы могут создавать дополнительную нагрузку на сервер при обращении поискового робота к сайту, а также затруднять индексирование полезного контента, поэтому рекомендуем запрещать индексирование этих страниц в файле robots.txt, а также устранить уязвимость.

Мне пришло сообщение об XSS-атаке, но страниц, приведенных в качестве примера, на сайте уже нет. Как такое произошло?

Скорее всего, наши алгоритмы еще не успели повторно обойти страницы, созданные в результате XSS-атаки, поэтому вам пришло сообщение. В ближайшее время страницы вашего сайта должны переиндексироваться, и если последствий XSS-атаки не будет обнаружено, сообщение перестанет приходить. Вы можете ускорить процесс удаления из индекса несуществующих страниц, воспользовавшись советами на странице Помощи.

Оцініть статтю
Дякуємо за ваш відгук!