Kompyuter texnologiyalarining jadal rivojlanishiga qaramay, tarmoq xavfsizligi hali ham dolzarb muammo bo'lib qolmoqda. Eng keng tarqalganlardan biri bu tajovuzkorga Internet-resursni to'liq boshqarish imkoniyatini beradigan XSS zaifliklari. Saytingiz xavfsizligini ta'minlash uchun uni ushbu zaiflik uchun tekshirishingiz kerak.
Ko'rsatmalar
1-qadam
XSS zaifligining mohiyati hackerga maxfiy ma'lumotlarni o'g'irlashiga imkon beradigan uchinchi tomon skriptini serverda bajarish imkoniyatida. Odatda, cookie-fayllar o'g'irlanadi: ularning o'rnini bosish bilan tajovuzkor o'z ma'lumotlarini o'g'irlagan shaxsning huquqlari bilan saytga kirishi mumkin. Agar bu administrator bo'lsa, u holda xaker saytga administrator imtiyozlari bilan ham kiradi.
2-qadam
XSS zaifliklari passiv va faol bo'linadi. Passiv foydalanish ssenariyni saytda bajarilishi mumkin, lekin unda saqlanmaydi deb taxmin qiladi. Bunday zaiflikdan foydalanish uchun xaker u yoki bu bahona bilan sizni u yuborgan havolani bosishga majbur qilishi kerak. Masalan, siz sayt ma'murisiz, shaxsiy xabarni qabul qiling va unda ko'rsatilgan havolaga o'ting. Bunday holda, cookie-fayllar snaynerga o'tadi - bu xakerga kerak bo'lgan ma'lumotlarni ushlab turish dasturi.
3-qadam
Faol XSS juda kam tarqalgan, ammo juda xavfli. Bunday holda, zararli skript veb-sayt sahifasida saqlanadi - masalan, forum yoki mehmonlar kitobi postida. Agar siz forumda ro'yxatdan o'tgan bo'lsangiz va bunday sahifani ochsangiz, cookie-fayllaringiz avtomatik ravishda xakerga yuboriladi. Shuning uchun saytingizni ushbu zaifliklarning mavjudligini tekshirishga qodir bo'lish juda muhimdir.
4-qadam
Passiv XSS-ni izlash uchun odatda "> alert ()" qatoridan foydalaniladi, bu matn kiritish maydonlariga, ko'pincha saytning qidirish maydoniga kiritiladi. Hiyla birinchi tirnoq belgisida: agar xato bo'lsa belgilarni filtrlashda tirnoq izlash so'rovini yopish va u bajarilgandan so'ng skript qabul qilinadi, agar zaiflik mavjud bo'lsa, ekranda ochilgan oynani ko'rasiz, bu turdagi zaiflik juda keng tarqalgan.
5-qadam
Faol XSS-ni topish saytda qaysi teglarga ruxsat berilganligini tekshirishdan boshlanadi. Xaker uchun img va url teglari eng muhimi. Masalan, quyidagi rasmdagi rasmga havolani qo'shishga harakat qiling:
6-qadam
Agar xoch yana paydo bo'lsa, xaker muvaffaqiyatning yarmi. Endi *.
7-qadam
XSS zaifliklari orqali saytni hujumlardan qanday himoya qilish kerak? Ma'lumotlarni kiritish uchun iloji boricha kamroq maydonlarni saqlashga harakat qiling. Bundan tashqari, hatto radio tugmalari, tasdiqlash qutilari va boshqalar "maydon" ga aylanishi mumkin. Brauzer sahifasida barcha yashirin maydonlarni ko'rsatadigan maxsus xakerlik dasturlari mavjud. Masalan, Internet Explorer uchun IE_XSS_Kit. Ushbu yordam dasturini toping, o'rnating - u brauzerning kontekst menyusiga qo'shiladi. Shundan so'ng, saytingizning barcha maydonlarini mumkin bo'lgan zaifliklarni tekshiring.
