A számítástechnika gyors fejlődése ellenére a hálózati biztonság továbbra is kritikus kérdés. Az egyik leggyakoribb az XSS sebezhetősége, amely lehetővé teszi a támadó számára, hogy teljes irányítást szerezzen egy internetes erőforrás felett. Webhelyének biztonsága érdekében ellenőrizze, hogy megtalálta-e ezt a biztonsági rést.
Utasítás
1. lépés
Az XSS sebezhetőség lényege abban rejlik, hogy egy harmadik féltől származó parancsfájlt futtathat a szerveren, amely lehetővé teszi a hackerek számára, hogy bizalmas adatokat lopjanak el. Általában a cookie-kat lopják el: a sajátjuk cseréjével a támadó annak a személynek a jogaival léphet be az oldalra, akinek az adatait ellopta. Ha ez egy rendszergazda, akkor a hacker rendszergazdai jogosultságokkal is belép a webhelyre.
2. lépés
Az XSS sebezhetőségei passzív és aktívakra oszlanak. A passzív használat feltételezi, hogy a szkript végrehajtható a webhelyen, de nem menthető el rajta. Egy ilyen biztonsági rés kihasználásához egy hackernek egyik vagy másik ürügyén arra kell kényszerítenie, hogy kattintson az általa küldött linkre. Például Ön egy webhely rendszergazdája, privát üzenetet kap, és kövesse az abban megadott linket. Ebben az esetben a sütik egy szippantóba kerülnek - egy program a hacker számára szükséges adatok elfogására.
3. lépés
Az aktív XSS sokkal ritkább, de sokkal veszélyesebb. Ebben az esetben a rosszindulatú szkript egy webhely oldalára kerül - például egy fórumba vagy vendégkönyvbe. Ha regisztrált a fórumon, és megnyit egy ilyen oldalt, a cookie-kat automatikusan elküldik a hackernek. Ezért olyan fontos, hogy ellenőrizni tudja webhelyét e sérülékenységek fennállása szempontjából.
4. lépés
A passzív XSS kereséséhez általában a "> alert () karakterláncot használják, amelyet a szövegbeviteli mezőkbe írnak be, leggyakrabban a webhely keresőmezőjébe. A trükk az első idézőjelben található: ha hiba van a karakterek szűrésében az idézőjelet a keresési lekérdezés lezárásaként észlelik, és a szkript végrehajtása után. Ha van biztonsági rés, akkor egy felugró ablak jelenik meg a képernyőn. Az ilyen típusú biztonsági rés nagyon gyakori.
5. lépés
Az aktív XSS megtalálása azzal kezdődik, hogy ellenőrzi, hogy mely címkék engedélyezettek a webhelyen. Egy hacker számára a legfontosabbak az img és az url címkék. Például próbáljon meg egy képet tartalmazó linket beilleszteni az ilyen üzenetbe:
6. lépés
Ha a kereszt újra megjelenik, a hacker félúton van a sikerhez. Most még egy paramétert ad hozzá a *.
7. lépés
Hogyan lehet megvédeni a webhelyet az XSS sebezhetőségei által okozott támadásoktól? Próbáljon minél kevesebb mezőt megadni az adatbevitelhez. Sőt, még a rádiógombok, jelölőnégyzetek stb. Is "mezőkké" válhatnak. Vannak speciális hacker segédprogramok, amelyek az összes rejtett mezőt megjelenítik a böngésző oldalán. Például IE_XSS_Kit az Internet Explorer programhoz. Keresse meg ezt a segédprogramot, telepítse - hozzáadódik a böngésző helyi menüjéhez. Ezt követően ellenőrizze a webhely összes mezőjét a lehetséges sérülékenységek szempontjából.
