Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi
Yüklə 1,35 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- "XSS" qanday ishlaydi
- "XSS" hujumdan himoyalanish
|
"XSS" nima ?
Maqola sarlavhasidan ma'lumki XSS bu saytlarga hujum qilish turlaridan biridir. XSS inglizcha "Cross-Site Scripting" tushunchasidan olingan bo'lib o'zbek tiliga tarjima qilinganda "Saytlar orasidagi scriptlash" manosini anglatadi. Aslida odamlar CSS stillar jadvali bilan adashtirib qo'ymasligi uchun CSS emas XSS qisqartmasi berilgan. Aslida ishlash tartibi juda murakkab bo'lmagan ushbu hujum uslubi dunyo bo'yicha eng ko'p qo'llaniladigan hujum turlari orasida 7 - o'rinda turadi. "XSS" qanday ishlaydi ? Bunday qisqa nom qayerdan kelib chiqqani haqida bilib oldik, endi siz bilan XSS qanday ishlashini tahlil qiladigan bo'lsak, XSS bu maxsus kodlarning sayt foydalanuvchilari tarafiga joylashtirilishi va ishga tushurilishidir. Foydalanuvchilar tomonda maxsus kodlarni ishga tushurishning bir necha yo'llari mavjud. Maxsus kodni serverga yuborib sayt fayllariga ulab qo'yish yoki uslub ishlashi mumkin bo'lgan sayt formalari orqali. Masalan saytda izohlar qoldirish mumkin bo'lgan sahifada izoh sifatida qoldirish va qachonki ushbu sahifani yangi foydalanuvchilar yuklaganda ushbu kodni ishga tushadigan qilish mumkin ekan. Ikkinchi uslub sifatida nishondagi foydalanuvchiga malum bir script fayliga havola yuborish va kiyinchalik ushbu script ichidan turib istalgan amalni bajarishi mumkin. Bunday hujumlardan asosiy maqsad foydalanuvchilarning cockie saqlamalarini o'g'irlashdir. "XSS" hujumdan himoyalanish Albatta XSS haqida barcha narsani tushunib oldik, ammo bunday qoyilmaqom hujumdan o'zimizni va saytimizni qanday qilib himoya qilamiz ? Agarda sizning saytingiz bo'lsa, avvalam bor serverga qadar borishi mumkin bo'lgan har qanday ma'lumotni filterlashimiz lozim, Bundan tashqari havolalar haqida gapiradigan bo'lsak, etibor bering siz 10 lab yillardan buyon foydalanadigan ishonchli saytlarda ham qora niyatli kimsalar tomonidan joylashtirilgan maxsus havolalar joylashtirilgan bo'lishi mumkin. XSS hujumlari odatda uchta shaklda bo'ladi: aks ettiruvchi, saqlangan va DOM-ga asoslangan. Reflektor va saqlangan XSS hujumlari asosan bir xil, chunki ular serverga yuborilgan zararli ma'lumotlarga tayanadi va ushbu kirishni serverdagi foydalanuvchiga taqdim etadi. Reflektiv XSS odatda zararli maqsadda yaratilgan havola sifatida paydo bo'ladi, keyin jabrlanuvchi uni bosadi. Saqlangan XSS tajovuzkor zararli ma'lumotlarni yuklab olganida paydo bo'ladi. DOM-ga asoslangan hujumlar butunlay mijoz tomonida sodir bo'lishi va DOMni manipulyatsiya qiluvchi zararli kirishni o'z ichiga olishi bilan farq qiladi. Misollar Reflektiv XSS hujumlari. Quyida foydalanuvchiga kiritilgan ma'lumotlarni (hatto zararli skript bo'lsa ham) aks ettiruvchi oddiy Go Web-ilovasini ko'rishingiz mumkin. Siz ushbu ilovani xss1.go faylida saqlash va go run xss1.go dasturini ishga tushirish orqali foydalanishingiz mumkin. package main import ( "fmt" "log" "net/http" ) func handler(w http.ResponseWriter, r *http.Request) { w.Header().Set("X-XSS-Protection", "0") messages, ok := r.URL.Query()["message"] if !ok { messages = []string{"hello, world"} } fmt.Fprintf(w, " %v ", messages[0]) } func main() { http.HandleFunc("/", handler) log.Fatal(http.ListenAndServe("127.0.0.1:8080", nil)) } XSS nima? XSS - bu Web-saytga zararli kodni kiritadigan kodga asoslangan hujum. Bu Web-saytlarga eng ko'p uchraydigan hujumlardan biridir. Bu saytga ta'sir qilishi va ushbu sayt foydalanuvchilariga ham ta'sir qilishi mumkin. Boshqacha qilib aytganda, Web-saytga XSS hujumi sodir bo'lganda, ushbu kod brauzer tomonidan ushbu Web-sayt foydalanuvchilari uchun bajariladi. XSS uchun zararli kod yozish uchun umumiy tillardan biri JavaScript hisoblanadi. XSS foydalanuvchining cookie fayllarini o'g'irlashi mumkin. U Web-sahifani boshqacha ko'rinish va harakat qilish uchun o'zgartirishi mumkin. Bundan tashqari, u zararli dasturlarni yuklab olishni ko'rsatishi va foydalanuvchi sozlamalarini o'zgartirishi mumkin. XSS hujumlarining ikki turi mavjud. Ular doimiy va doimiy bo'lmagan deb ataladi. Doimiy XSS hujumida zararli kod sayt ma'lumotlar bazasida saqlanadi. Foydalanuvchi hech qanday ma'lumotsiz unga kirishi mumkin. Doimiy bo'lmagan XSS hujumi aks ettirilgan XSS deb ham ataladi. U zararli skriptni HTTP so'rovi sifatida yuboradi. Bular XSS-ning ikkita asosiy turi. HTTP qanday protocol- Gipermatnli axborotlarni almashishdir. Yüklə 1,35 Mb. Dostları ilə paylaş:
|