კომპიუტერული ტექნოლოგიის სწრაფი განვითარების მიუხედავად, ქსელის უსაფრთხოება კვლავ კრიტიკულ საკითხს წარმოადგენს. ერთ-ერთი ყველაზე გავრცელებულია XSS სისუსტე, რაც თავდამსხმელს საშუალებას აძლევს მოიპოვოს სრული კონტროლი ინტერნეტ რესურსზე. თქვენი საიტის უსაფრთხოების უზრუნველსაყოფად უნდა დაასკანიროთ ეს დაუცველობა.
ინსტრუქციები
Ნაბიჯი 1
XSS მოწყვლადობის არსი მდგომარეობს სერვერზე მესამე მხარის სკრიპტის შესრულების შესაძლებლობაში, რომელიც ჰაკერს საშუალებას აძლევს მოიპაროს კონფიდენციალური მონაცემები. ჩვეულებრივ, ქუქი-ფაილების მოპარვა ხდება: მათი საკუთარი ჩანაცვლებით, თავდამსხმელს შეუძლია საიტზე შევიდეს იმ ადამიანის უფლებებით, რომლის მონაცემებიც მან მოიპარა. თუ ეს არის ადმინისტრატორი, მაშინ ჰაკერი ასევე შევა საიტზე ადმინისტრატორის პრივილეგიებით.
ნაბიჯი 2
XSS სისუსტეები იყოფა პასიურად და აქტიურად. პასიურის გამოყენება გულისხმობს, რომ სკრიპტის შესრულება შესაძლებელია საიტზე, მაგრამ არ არის შენახული მასზე. ამგვარი მოწყვლადობის გამოსაყენებლად, ჰაკერმა ამა თუ იმ საბაბით უნდა აიძულოს დააჭიროთ მის მიერ გაგზავნილ ბმულს. მაგალითად, თქვენ ხართ საიტის ადმინისტრატორი, მიიღეთ პირადი შეტყობინება და მიჰყევით მასში მითითებულ ბმულს. ამ შემთხვევაში, ქუქი-ფაილები მიდის სნიფერისთვის - პროგრამა, რომელიც ჰაკერს სჭირდება მონაცემთა ჩაჭრა.
ნაბიჯი 3
აქტიური XSS გაცილებით ნაკლებად გავრცელებულია, მაგრამ ბევრად უფრო საშიშია. ამ შემთხვევაში, მავნე სკრიპტი ინახება ვებ – გვერდზე, მაგალითად, ფორუმის ან სასტუმრო წიგნის პოსტში. თუ ფორუმზე ხართ დარეგისტრირებული და გახსნით ასეთ გვერდს, თქვენი ქუქი – ფაილები ავტომატურად იგზავნება ჰაკერთან. ამიტომ ძალიან მნიშვნელოვანია თქვენი საიტის შემოწმება ამ სისუსტეების არსებობის შესახებ.
ნაბიჯი 4
პასიური XSS- ის მოსაძებნად, ჩვეულებრივ, გამოიყენება სტრიქონი "> alert (), რომელიც შეიტანება ტექსტის შესვლის ველებში, ყველაზე ხშირად საიტის საძიებო ველში. შეასრულა პირველ ბრჭყალში: თუ შეცდომაა სიმბოლოების ფილტრაციისას, ბრჭყალი აღიქმება, როგორც საძიებო მოთხოვნის დახურვა, ხოლო სკრიპტის შესრულების შემდეგ სკრიპტი, თუ არსებობს მოწყვლადობა, ეკრანზე იხილავთ ამომხტარი ფანჯარა. ამ ტიპის დაუცველობა ძალიან ხშირია.
ნაბიჯი 5
აქტიური XSS– ის მოძებნა იწყება შემოწმებით, თუ რომელი თეგები არის ნებადართული საიტზე. ჰაკერისთვის ყველაზე მნიშვნელოვანია img და url თეგები. მაგალითად, შეეცადეთ ჩასვათ სურათზე ბმული შეტყობინებაში, როგორიცაა:
ნაბიჯი 6
თუ ჯვარი კვლავ გამოჩნდება, ჰაკერი წარმატების ნახევარშია. ახლა ის დაამატებს კიდევ ერთ პარამეტრს *.
ნაბიჯი 7
როგორ დავიცვათ საიტი თავდასხმებისგან XSS– ის დაუცველობით? შეეცადეთ შეინახოთ რაც შეიძლება ნაკლები ველი მონაცემების შესასვლელად. უფრო მეტიც, რადიოს ღილაკებიც, ჩამრთველები და ა.შ. შეიძლება გახდეს "ველები". არსებობს სპეციალური ჰაკერების უტილიტები, რომლებიც ბრაუზერის გვერდზე აჩვენებს ყველა დამალულ ველს. მაგალითად IE_XSS_Kit Internet Explorer- ისთვის. იპოვნეთ ეს პროგრამა, დააინსტალირეთ - ის დაემატება ბრაუზერის კონტექსტურ მენიუს. ამის შემდეგ შეამოწმეთ თქვენი საიტის ყველა ველი შესაძლო დაუცველობების შესახებ.
