Neskatoties uz straujo datortehnoloģijas attīstību, tīkla drošība joprojām ir kritisks jautājums. Viena no visizplatītākajām ir XSS ievainojamība, kas ļauj uzbrucējam iegūt pilnīgu kontroli pār interneta resursu. Lai pārliecinātos, ka jūsu vietne ir droša, pārbaudiet, vai tajā nav ievainojamības.
Instrukcijas
1. solis
XSS ievainojamības būtība ir iespēja izpildīt trešās puses skriptu serverī, kas ļauj hakeriem nozagt konfidenciālus datus. Parasti sīkdatnes tiek nozagtas: aizstājot tās ar savām, uzbrucējs var iekļūt vietnē ar tās personas tiesībām, kuras datus viņš nozaga. Ja tas ir administrators, hakeris arī ievadīs vietni ar administratora tiesībām.
2. solis
XSS ievainojamība ir sadalīta pasīvajā un aktīvajā. Pasīvā izmantošana pieņem, ka skriptu vietnē var izpildīt, bet tajā nevar saglabāt. Lai izmantotu šādu ievainojamību, hakerim ar vienu vai citu ieganstu ir jāpiespiež jūs noklikšķināt uz viņa nosūtītās saites. Piemēram, jūs esat vietnes administrators, saņemat privātu ziņojumu un sekojiet tajā norādītajai saitei. Šajā gadījumā sīkdatnes nonāk pie šņaucēja - programmas hakerim nepieciešamo datu pārtveršanai.
3. solis
Aktīvais XSS ir daudz retāk sastopams, bet daudz bīstamāks. Šajā gadījumā ļaunprātīgais skripts tiek saglabāts vietnes lapā - piemēram, foruma vai viesu grāmatas ierakstā. Ja esat reģistrējies forumā un atverat šādu lapu, jūsu sīkdatnes tiek automātiski nosūtītas hakerim. Tāpēc ir tik svarīgi spēt pārbaudīt, vai jūsu vietnē nav šo ievainojamību.
4. solis
Lai meklētu pasīvo XSS, parasti tiek izmantota virkne "> alert (), kas tiek ievadīta teksta ievades laukos, visbiežāk vietnes meklēšanas laukā. Triks ir pirmajā pēdiņā: ja ir kļūda filtrējot rakstzīmes, pēdiņa tiek uztverta kā meklēšanas vaicājuma aizvēršana un skripts pēc tā izpildes. Ja ir ievainojamība, ekrānā redzēsiet uznirstošo logu. Šāda veida ievainojamība ir ļoti izplatīta.
5. solis
Aktīvā XSS atrašana sākas, pārbaudot, kuri tagi ir atļauti vietnē. Hakeriem vissvarīgākie ir tagi img un url. Piemēram, mēģiniet ziņojumā ievietot saiti uz attēlu šādi:
6. solis
Ja krusts atkal parādās, hakeris ir pusceļā uz panākumiem. Tagad tas pievieno vēl vienu parametru aiz paplašinājuma *.jpg:
7. solis
Kā aizsargāt vietni no uzbrukumiem, izmantojot XSS ievainojamības? Centieties to saglabāt pēc iespējas mazāk datu ievadīšanas laukiem. Turklāt pat radio pogas, izvēles rūtiņas utt. Var kļūt par "laukiem". Ir īpašas hakeru utilītas, kas pārlūka lapā parāda visus slēptos laukus. Piemēram, IE_XSS_Kit pārlūkprogrammai Internet Explorer. Atrodiet šo utilītu, instalējiet to - tā tiks pievienota pārlūkprogrammas konteksta izvēlnei. Pēc tam pārbaudiet, vai visos vietnes laukos nav iespējamo ievainojamību.
