Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi



Yüklə 1,35 Mb.
Pdf görüntüsü
səhifə25/33
tarix02.06.2023
ölçüsü1,35 Mb.
#123007
1   ...   21   22   23   24   25   26   27   28   ...   33
KIBERXAVFSIZLIK

 "XSS" nima ? 
Maqola sarlavhasidan ma'lumki XSS bu saytlarga hujum qilish turlaridan biridir. XSS inglizcha 
"Cross-Site Scripting" tushunchasidan olingan bo'lib o'zbek tiliga tarjima qilinganda "Saytlar 
orasidagi scriptlash" manosini anglatadi. Aslida odamlar CSS stillar jadvali bilan adashtirib 
qo'ymasligi uchun CSS emas XSS qisqartmasi berilgan.
Aslida ishlash tartibi juda murakkab bo'lmagan ushbu hujum uslubi dunyo bo'yicha eng ko'p 
qo'llaniladigan hujum turlari orasida 7 - o'rinda turadi. 
 "XSS" qanday ishlaydi ? 
Bunday qisqa nom qayerdan kelib chiqqani haqida bilib oldik, endi siz bilan XSS qanday 
ishlashini tahlil qiladigan bo'lsak, XSS bu maxsus kodlarning sayt foydalanuvchilari tarafiga 
joylashtirilishi va ishga tushurilishidir. 
Foydalanuvchilar tomonda maxsus kodlarni ishga tushurishning bir necha yo'llari mavjud. 
Maxsus kodni serverga yuborib sayt fayllariga ulab qo'yish yoki uslub ishlashi mumkin bo'lgan 
sayt formalari orqali. Masalan saytda izohlar qoldirish mumkin bo'lgan sahifada izoh sifatida 
qoldirish va qachonki ushbu sahifani yangi foydalanuvchilar yuklaganda ushbu kodni ishga 
tushadigan qilish mumkin ekan. 
Ikkinchi uslub sifatida nishondagi foydalanuvchiga malum bir script fayliga havola yuborish va 
kiyinchalik ushbu script ichidan turib istalgan amalni bajarishi mumkin. Bunday hujumlardan 
asosiy maqsad foydalanuvchilarning cockie saqlamalarini o'g'irlashdir. 
 "XSS" hujumdan himoyalanish 


Albatta XSS haqida barcha narsani tushunib oldik, ammo bunday qoyilmaqom hujumdan 
o'zimizni va saytimizni qanday qilib himoya qilamiz ? 
Agarda sizning saytingiz bo'lsa, avvalam bor serverga qadar borishi mumkin bo'lgan har qanday 
ma'lumotni filterlashimiz lozim, Bundan tashqari havolalar haqida gapiradigan bo'lsak, etibor 
bering siz 10 lab yillardan buyon foydalanadigan ishonchli saytlarda ham qora niyatli kimsalar 
tomonidan joylashtirilgan maxsus havolalar joylashtirilgan bo'lishi mumkin. 
XSS hujumlari odatda uchta shaklda bo'ladi: aks ettiruvchi, saqlangan va DOM-ga 
asoslangan. 
Reflektor va saqlangan XSS hujumlari asosan bir xil, chunki ular serverga yuborilgan zararli 
ma'lumotlarga tayanadi va ushbu kirishni serverdagi foydalanuvchiga taqdim etadi. Reflektiv 
XSS odatda zararli maqsadda yaratilgan havola sifatida paydo bo'ladi, keyin jabrlanuvchi uni 
bosadi. Saqlangan XSS tajovuzkor zararli ma'lumotlarni yuklab olganida paydo bo'ladi. DOM-ga 
asoslangan hujumlar butunlay mijoz tomonida sodir bo'lishi va DOMni manipulyatsiya qiluvchi 
zararli kirishni o'z ichiga olishi bilan farq qiladi. 
Misollar 
Reflektiv XSS hujumlari. Quyida foydalanuvchiga kiritilgan ma'lumotlarni (hatto zararli 
skript bo'lsa ham) aks ettiruvchi oddiy Go Web-ilovasini ko'rishingiz mumkin. Siz ushbu ilovani 
xss1.go faylida saqlash va go run xss1.go dasturini ishga tushirish orqali foydalanishingiz 
mumkin. 
package main 
import ( 
"fmt" 
"log" 
"net/http" 

func handler(w http.ResponseWriter, r *http.Request) { 
w.Header().Set("X-XSS-Protection", "0") 
messages, ok := r.URL.Query()["message"] 
if !ok { 
messages = []string{"hello, world"} 

fmt.Fprintf(w, "
%v
", messages[0]) 

func main() { 
http.HandleFunc("/", handler) 
log.Fatal(http.ListenAndServe("127.0.0.1:8080", nil)) 

XSS nima? 
XSS - bu Web-saytga zararli kodni kiritadigan kodga asoslangan hujum. Bu Web-saytlarga eng 
ko'p uchraydigan hujumlardan biridir. Bu saytga ta'sir qilishi va ushbu sayt foydalanuvchilariga 
ham ta'sir qilishi mumkin. Boshqacha qilib aytganda, Web-saytga XSS hujumi sodir bo'lganda, 
ushbu kod brauzer tomonidan ushbu Web-sayt foydalanuvchilari uchun bajariladi. 


XSS uchun zararli kod yozish uchun umumiy tillardan biri JavaScript hisoblanadi. XSS 
foydalanuvchining cookie fayllarini o'g'irlashi mumkin. U Web-sahifani boshqacha ko'rinish va 
harakat qilish uchun o'zgartirishi mumkin. Bundan tashqari, u zararli dasturlarni yuklab olishni 
ko'rsatishi va foydalanuvchi sozlamalarini o'zgartirishi mumkin. 
XSS hujumlarining ikki turi mavjud. Ular doimiy va doimiy bo'lmagan deb ataladi. Doimiy XSS 
hujumida zararli kod sayt ma'lumotlar bazasida saqlanadi. Foydalanuvchi hech qanday 
ma'lumotsiz unga kirishi mumkin. Doimiy bo'lmagan XSS hujumi aks ettirilgan XSS deb ham 
ataladi. U zararli skriptni HTTP so'rovi sifatida yuboradi. Bular XSS-ning ikkita asosiy turi. 
HTTP qanday protocol- Gipermatnli axborotlarni almashishdir.

Yüklə 1,35 Mb.

Dostları ilə paylaş:
1   ...   21   22   23   24   25   26   27   28   ...   33




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin