Kompüter texnologiyasının sürətli inkişafına baxmayaraq, şəbəkə təhlükəsizliyi hələ də kritik bir məsələdir. Ən çox yayılmışlardan biri, təcavüzkarın bir İnternet mənbəyi üzərində tam nəzarət əldə etməsinə imkan verən XSS zəiflikləridir. Saytınızın təhlükəsizliyini təmin etmək üçün onu bu zəiflik üçün taramalısınız.
Təlimat
Addım 1
XSS zəifliyinin mahiyyəti, bir hackerin məxfi məlumatları oğurlamasına imkan verən üçüncü tərəf skriptini serverdə icra etmə ehtimalından ibarətdir. Ümumiyyətlə, çərəzlər oğurlanır: onları özləri ilə əvəz edərək, bir təcavüzkar oğurladığı şəxsin hüquqları ilə sayta daxil ola bilər. Bu bir idarəçidirsə, haker də sayta administrator imtiyazları ilə daxil olacaq.
Addım 2
XSS zəiflikləri passiv və aktiv olaraq bölünür. Pasif istifadəsi, skriptin saytda icra oluna biləcəyini, ancaq burada qeyd olunmadığını düşünür. Belə bir zəiflikdən istifadə etmək üçün bir hacker bu və ya digər bəhanə ilə göndərdiyi linki vurmağa məcbur etməlidir. Məsələn, bir sayt administratorusunuz, xüsusi bir mesaj alırsınız və orada göstərilən linki izləyin. Bu vəziyyətdə, çərəzlər bir snayperə gedir - hackerın ehtiyac duyduğu məlumatları ələ keçirmək üçün bir proqram.
Addım 3
Aktiv XSS daha az yaygındır, lakin daha təhlükəlidir. Bu halda, zərərli skript veb sayt səhifəsində qeyd olunur - məsələn, forumda və ya qonaq kitabçasında. Forumda qeydiyyatdan keçmisinizsə və belə bir səhifə açırsınızsa, çərəzləriniz avtomatik olaraq hakerə göndərilir. Buna görə saytınızı bu zəifliklərin mövcudluğunu yoxlaya bilmək çox vacibdir.
Addım 4
Passiv XSS-i axtarmaq üçün ümumiyyətlə saytın axtarış sahəsinə mətn giriş sahələrinə daxil olan "> alert ()" sətri istifadə olunur. Hiylə ilk tırnak işarəsindədir: bir səhv varsa simvolların süzülməsində tırnak işarəsi axtarış sorğusunun bağlanması kimi qəbul edilir və icra edildikdən sonra ssenari zəiflik varsa, ekranda açılan bir pəncərə görəcəksiniz. Bu tip həssaslıq çox yaygındır.
Addım 5
Aktiv XSS-i tapmaq saytda hansı etiketlərə icazə verildiyini yoxlamaqla başlayır. Bir hacker üçün ən əhəmiyyətlisi img və url etiketləridir. Məsələn, mesajdakı şəkilə bir keçid əlavə etməyə çalışın:
Addım 6
Xaç yenidən görünsə, hacker müvəffəqiyyətin yarısında. İndi *.
Addım 7
Bir saytı XSS zəifliklərindən gələn hücumlardan necə qorumaq olar? Məlumat girişi üçün mümkün qədər az sahə saxlamağa çalışın. Üstəlik, radio düymələri, onay qutuları və s. Belə "sahələrə" çevrilə bilər. Brauzer səhifəsindəki bütün gizli sahələri əks etdirən xüsusi hacker yardım proqramları var. Məsələn Internet Explorer üçün IE_XSS_Kit. Bu yardım proqramını tapın, quraşdırın - brauzerin kontekst menyusuna əlavə olunacaq. Bundan sonra, saytınızın bütün sahələrini mümkün boşluqları yoxlayın.