Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

XSS-атаки

Що таке XSS-атака

XSS — тип вразливості інтерактивних інформаційних систем в інтернеті. Існує кілька видів таких атак: XSS-атака може бути спрямована на крадіжку особистих даних, таких як cookies, паролів тощо, або впроваджувати код скриптів і посилань на сторінки сайту. Докладну інформацію про те, що таке XSS-атака, ви можете знайти у Вікіпедії або в інтернеті.

Яндекс повідомляє веб-майстрів, які підтвердили права на керування сайтом на сервісі Яндекс.Вебмайстер, про спробу зловмисників створити сміттєві сторінки або сторінки з посиланнями на сторонні ресурси.

Як усунути вразливість на сайті

Єдиної інструкції із захисту сайту від XSS-атаки не існує, усе залежить від особливостей системи керування сайтом і сервера, на якому він розміщений. Необхідно визначити та описати всі дані, які можуть бути отримані ззовні, включаючи дані із суміжних систем. Для всіх даних визначається їх синтаксис і можливий зміст.

Необхідно вирішити, чи дозволяти використовувати теги всередині введення користувача. Якщо введення дозволено, то потрібно точно описати, яке саме та з якими обмеженнями. Потрібно чітко уявляти, які дані та в яких місцях можуть з'явитися.

Після цього визначаються правила фільтрації всіх змінних перед виведенням. Правила фільтрації визначаються вимогами до змісту та синтаксису даних, а також до можливого місця їх відображення на сторінці.

Як заборонити індексування сторінок, створених у результаті XSS-атаки

Докладну інформацію про правила складання файлу robots.txt ви знайдете в розділі Допомоги.

Виключення сайту з пошуку через XSS-атаки

Якщо на сайті не використовуються недобросовісні прийоми просування сайтів у пошукових системах (пошуковий спам), то вони не виключається з пошуку повністю. До індексування забороняються лише сторінки, створені в результаті XSS-атаки.

Як відписатися від повідомлень про XSS-атаку

Ви можете вимкнути цю опцію на сторінці налаштувань сервісу Яндекс.Вебмайстер.

У коді зазначених сторінок ніяких "чужих" елементів немає. Чому надійшло повідомлення?

У результаті XSS-атаки може формуватися велика кількість сторінок без посилання на сторонні ресурси. Такі сторінки можуть створювати додаткове навантаження на сервер у разі звернення пошукового робота до сайту, а також ускладнювати індексування корисного контенту, тому рекомендуємо забороняти індексування цих сторінок у файлі robots.txt, а також усунути вразливість.

Мені надійшло повідомлення про XSS-атаку, але сторінок, наведених як приклад, на сайті вже немає. Як таке сталося?

Швидше за все, наші алгоритми ще не встигли повторно обійти сторінки, створені в результаті XSS-атаки, тому вам надійшло повідомлення. Найближчим часом сторінки вашого сайту повинні переіндексуватися, і якщо наслідків XSS-атаки не буде виявлено, повідомлення припинить надходити. Ви можете прискорити процес видалення з індексу неіснуючих сторінок, скориставшись порадами на сторінці Допомоги.

Оцініть статтю
Дякуємо за ваш відгук!