Licha ya maendeleo ya haraka ya teknolojia ya kompyuta, usalama wa mtandao bado ni suala muhimu. Moja ya kawaida ni udhaifu wa XSS ambao huruhusu mshambuliaji kupata udhibiti kamili juu ya rasilimali ya mtandao. Ili kuhakikisha kuwa tovuti yako iko salama, unapaswa kuichanganua kwa hatari hii.
Maagizo
Hatua ya 1
Kiini cha hatari ya XSS iko katika uwezekano wa kutekeleza hati ya mtu wa tatu kwenye seva ambayo inaruhusu hacker kuiba data ya siri. Kawaida, kuki zinaibiwa: kwa kuzibadilisha zenyewe, mshambuliaji anaweza kuingia kwenye wavuti na haki za mtu ambaye data yake aliiba. Ikiwa huyu ni msimamizi, basi hacker pia ataingia kwenye wavuti na marupurupu ya msimamizi.
Hatua ya 2
Udhaifu wa XSS umegawanywa kuwa wa kawaida na wa kazi. Matumizi ya watazamaji hufikiria kuwa hati inaweza kutekelezwa kwenye wavuti, lakini haihifadhiwa juu yake. Ili kutumia udhaifu kama huo, hacker lazima, kwa kisingizio kimoja au kingine, akulazimishe kubonyeza kiungo kilichotumwa naye. Kwa mfano, wewe ni msimamizi wa wavuti, pokea ujumbe wa faragha na ufuate kiunga kilichoainishwa ndani yake. Katika kesi hii, kuki huenda kwa sniffer - mpango wa kukatiza data ambayo hacker anahitaji.
Hatua ya 3
Active XSS ni ndogo sana, lakini ni hatari zaidi. Katika kesi hii, hati mbaya inahifadhiwa kwenye ukurasa wa wavuti - kwa mfano, kwenye jukwaa au chapisho la kitabu cha wageni. Ikiwa umesajiliwa kwenye baraza na kufungua ukurasa kama huo, kuki zako zinatumwa kwa kiatomati moja kwa moja. Ndio sababu ni muhimu sana kuwa na uwezo wa kuangalia tovuti yako kwa uwepo wa udhaifu huu.
Hatua ya 4
Kutafuta XSS isiyo na maana, kamba "> tahadhari () hutumiwa, ambayo huingizwa kwenye sehemu za kuingiza maandishi, mara nyingi kwenye uwanja wa utaftaji wa wavuti. Ujanja uko kwenye alama ya nukuu ya kwanza: ikiwa kuna hitilafu katika kuchuja wahusika, alama ya nukuu inaonekana kama kufunga swala la utaftaji, na hati baada ya kutekelezwa Ikiwa kuna hatari, utaona kidirisha cha kujitokeza kwenye skrini. Udhuru wa aina hii ni kawaida sana.
Hatua ya 5
Kupata XSS inayotumika huanza kwa kuangalia ni lebo gani zinaruhusiwa kwenye wavuti. Kwa hacker, muhimu zaidi ni lebo za img na url. Kwa mfano, jaribu kuingiza kiunga cha picha kwenye ujumbe kama huu:
Hatua ya 6
Ikiwa msalaba utaonekana tena, hacker yuko katikati ya mafanikio. Sasa inaongeza parameter moja zaidi baada ya ugani wa *.jpg:
Hatua ya 7
Jinsi ya kulinda tovuti kutoka kwa mashambulio kupitia udhaifu wa XSS? Jaribu kuiweka kama sehemu chache za kuingiza data iwezekanavyo. Kwa kuongezea, hata vifungo vya redio, visanduku vya ukaguzi, n.k vinaweza kuwa "uwanja". Kuna huduma maalum za wadukuzi ambazo zinaonyesha sehemu zote zilizofichwa kwenye ukurasa wa kivinjari. Kwa mfano IE_XSS_Kit ya Internet Explorer. Pata huduma hii, isakinishe - itaongezwa kwenye menyu ya muktadha wa kivinjari. Baada ya hapo, angalia sehemu zote za tovuti yako kwa uwezekano wa udhaifu.