Չնայած համակարգչային տեխնոլոգիայի արագ զարգացմանը, ցանցի անվտանգությունը դեռևս կարևոր խնդիր է: Ամենատարածվածներից մեկը XSS խոցելիությունն է, որը հարձակվողին թույլ է տալիս լիակատար վերահսկողություն ձեռք բերել ինտերնետային ռեսուրսի վրա: Ապահովելու համար, որ ձեր կայքը անվտանգ է, դուք պետք է այն սկանեք այս խոցելիության համար:
Հրահանգներ
Քայլ 1
XSS խոցելիության էությունը կայանում է սերվերում երրորդ կողմի սցենարի կատարման հնարավորության մեջ, որը թույլ է տալիս հակերին գաղտնի տվյալներ գողանալ: Սովորաբար թխուկները գողանում են. Դրանք փոխարինելով իրենցով, հարձակվողը կարող է կայք մտնել այն մարդու իրավունքներով, ում տվյալները նա գողացել է: Եթե սա ադմինիստրատոր է, ապա հակերները նույնպես կմտնեն կայք ՝ ադմինիստրատորի արտոնություններով:
Քայլ 2
XSS խոցելի կողմերը բաժանվում են պասիվ և ակտիվ: Պասիվության օգտագործումը ենթադրում է, որ սցենարը կարող է կատարվել կայքում, բայց ոչ թե պահպանվել դրա վրա: Նման խոցելիությունը շահագործելու համար հակերները պետք է, այս կամ այն պատրվակով, ստիպեն ձեզ սեղմել իր ուղարկած հղմանը: Օրինակ, դուք կայքի ադմինիստրատոր եք, ստանում եք անձնական հաղորդագրություն և հետևում եք դրանում նշված հղմանը: Այս դեպքում քուքի-ֆայլերը գնում են խորտակիչ `ծրագիր, որը հակերն է պահանջում:
Քայլ 3
Ակտիվ XSS- ը շատ ավելի քիչ տարածված է, բայց շատ ավելի վտանգավոր: Այս դեպքում վնասակար գրությունը պահվում է կայքի էջում, օրինակ ՝ ֆորումում կամ հյուրերի գրքում: Եթե դուք գրանցված եք ֆորումում և բացում եք նման էջ, ձեր թխուկներն ավտոմատ կերպով ուղարկվում են հակեր: Այդ պատճառով շատ կարևոր է, որպեսզի կարողանաք ստուգել ձեր կայքը այդ խոցելի տեղերի առկայության համար:
Քայլ 4
Պասիվ XSS որոնելու համար սովորաբար օգտագործվում է "> alert () տողը, որը մուտքագրվում է տեքստի մուտքագրման դաշտեր, առավել հաճախ կայքի որոնման դաշտում: Հնարքը առաջին չակերտների մեջ է. Եթե սխալ կա: Նիշերի զտման մեջ չակերտն ընկալվում է որպես որոնման հարցումը փակելը, և այն կատարվելուց հետո սցենարը Եթե կա խոցելիություն, էկրանին կտեսնեք ելնող պատուհան: Այս տեսակի խոցելիությունը շատ տարածված է:
Քայլ 5
Ակտիվ XSS գտնելը սկսվում է ստուգելով, թե որ պիտակներն են թույլատրվում կայքում: Հակերների համար ամենակարևորը img և url պիտակներն են: Օրինակ, փորձեք այս հաղորդագրության մեջ նկարի հղում տեղադրել այսպիսի հաղորդագրության մեջ.
Քայլ 6
Եթե խաչը կրկին հայտնվի, հակերները հաջողության կեսին են: Այժմ այն ավելացնում է ևս մեկ պարամետր *.
Քայլ 7
Ինչպե՞ս պաշտպանել կայքը XSS- ի խոցելիությունների միջոցով հարձակումներից: Փորձեք այն հնարավորինս քիչ դաշտեր պահել տվյալների մուտքագրման համար: Ավելին, նույնիսկ ռադիո կոճակները, վանդակները և այլն կարող են «դաշտեր» դառնալ: Գոյություն ունեն հատուկ հակերների կոմունալ ծառայություններ, որոնք ցուցադրում են զննարկչի էջում բոլոր թաքնված դաշտերը: Օրինակ, IE_XSS_Kit Internet Explorer- ի համար: Գտեք այս օգտակար ծրագիրը, տեղադրեք այն. Այն կավելացվի զննարկչի համատեքստային ընտրացանկում: Դրանից հետո ստուգեք ձեր կայքի բոլոր դաշտերը հնարավոր խոցելի տեղերի վերաբերյալ:
