Vaatamata arvutitehnoloogia kiirele arengule on võrgu turvalisus endiselt kriitiline küsimus. Üks levinumaid on XSS-i haavatavused, mis võimaldavad ründajal Interneti-ressursi üle täielikku kontrolli omandada. Teie saidi turvalisuse tagamiseks peaksite selle selle haavatavuse suhtes otsima.
Juhised
Samm 1
XSS-i haavatavuse olemus seisneb võimaluses käivitada serveris kolmanda osapoole skript, mis võimaldab häkkeril varastada konfidentsiaalseid andmeid. Tavaliselt varastatakse küpsised: asendades need enda omadega, saab ründaja saidile siseneda selle isiku õigustega, kelle andmed ta varastas. Kui see on administraator, siseneb häkker saidile ka administraatori õigustega.
2. samm
XSS-i haavatavused jagunevad passiivseteks ja aktiivseteks. Passiivse kasutamise eelduseks on, et skripti saab saidil käivitada, kuid sinna ei saa salvestada. Sellise haavatavuse kasutamiseks peab häkker ühel või teisel ettekäändel sundima teid klõpsama tema saadetud lingil. Näiteks olete saidi administraator, saate privaatsõnumi ja järgite selles määratud linki. Sellisel juhul lähevad küpsised nuuskijale - häkkerile vajalike andmete pealtkuulamise programm.
3. samm
Aktiivne XSS on palju vähem levinud, kuid palju ohtlikum. Sel juhul salvestatakse pahatahtlik skript veebisaidi lehele - näiteks foorumi või külalisteraamatu postitusse. Kui olete foorumis registreeritud ja avate sellise lehe, saadetakse teie küpsised automaatselt häkkerile. Seetõttu on nii oluline, et saaksite oma saidil kontrollida nende nõrkade kohtade olemasolu.
4. samm
Passiivse XSS-i otsimiseks kasutatakse tavaliselt stringi "> alert (), mis sisestatakse tekstisisestusväljadele, enamasti saidi otsinguväljale. Trikk on esimeses jutumärgis: kui ilmneb viga märkide filtreerimisel tajutakse jutumärki otsingupäringu sulgemisena ja skripti pärast selle täitmist. Kui on mõni haavatavus, näete ekraanil hüpikakent. Seda tüüpi haavatavus on väga levinud.
5. samm
Aktiivse XSS-i leidmine algab kontrollides, millised sildid on saidil lubatud. Häkkerile on kõige olulisemad sildid img ja url. Näiteks proovige sellesse sõnumisse lisada pildi link:
6. samm
Kui rist ilmub uuesti, on häkker edu poole peal. Nüüd lisab see laienduse *.
7. samm
Kuidas kaitsta saiti rünnakute eest XSS-i haavatavuste kaudu? Püüa hoida seda andmete sisestamiseks võimalikult vähe väljad. Veelgi enam, isegi raadionupud, märkeruudud jne võivad muutuda "väljadeks". On olemas spetsiaalsed häkkerite utiliidid, mis kuvavad kõik brauseri lehel peidetud väljad. Näiteks Internet Exploreri jaoks IE_XSS_Kit. Leidke see utiliit, installige see - see lisatakse brauseri kontekstimenüüsse. Pärast seda kontrollige oma saidi kõiki väljad võimalike haavatavuste suhtes.