Albatta XSS haqida barcha narsani tushunib oldik, ammo bunday qoyilmaqom hujumdan
o'zimizni va saytimizni qanday qilib himoya qilamiz ?
Agarda sizning saytingiz bo'lsa, avvalam bor serverga qadar borishi mumkin bo'lgan har qanday
ma'lumotni
filterlashimiz lozim, Bundan tashqari havolalar haqida gapiradigan bo'lsak, etibor
bering siz 10 lab yillardan buyon foydalanadigan ishonchli saytlarda ham qora niyatli kimsalar
tomonidan joylashtirilgan maxsus havolalar joylashtirilgan bo'lishi mumkin.
XSS hujumlari odatda uchta shaklda bo'ladi:
aks ettiruvchi, saqlangan va DOM-ga
asoslangan.
Reflektor va saqlangan XSS hujumlari asosan bir xil, chunki ular
serverga yuborilgan zararli
ma'lumotlarga tayanadi va ushbu kirishni serverdagi foydalanuvchiga taqdim etadi. Reflektiv
XSS odatda zararli maqsadda yaratilgan havola sifatida paydo bo'ladi, keyin jabrlanuvchi uni
bosadi. Saqlangan XSS tajovuzkor zararli ma'lumotlarni yuklab olganida paydo bo'ladi. DOM-ga
asoslangan hujumlar butunlay mijoz tomonida sodir bo'lishi va DOMni manipulyatsiya qiluvchi
zararli kirishni o'z ichiga olishi bilan farq qiladi.
Misollar
Reflektiv XSS hujumlari. Quyida foydalanuvchiga kiritilgan ma'lumotlarni (hatto zararli
skript bo'lsa ham) aks ettiruvchi oddiy Go Web-ilovasini ko'rishingiz mumkin. Siz ushbu ilovani
xss1.go faylida saqlash va go run xss1.go dasturini ishga tushirish orqali foydalanishingiz
mumkin.
package main
import (
"fmt"
"log"
"net/http"
)
func handler(w http.ResponseWriter, r *http.Request) {
w.Header().Set("X-XSS-Protection", "0")
messages, ok := r.URL.Query()["message"]
if !ok {
messages = []string{"hello, world"}
}
fmt.Fprintf(w, "
%v
", messages[0])
}
func main() {
http.HandleFunc("/", handler)
log.Fatal(http.ListenAndServe("127.0.0.1:8080", nil))
}
XSS nima?
XSS - bu Web-saytga zararli kodni kiritadigan kodga asoslangan hujum. Bu Web-saytlarga eng
ko'p uchraydigan hujumlardan biridir. Bu saytga ta'sir qilishi va ushbu sayt foydalanuvchilariga
ham ta'sir qilishi mumkin. Boshqacha qilib aytganda, Web-saytga XSS hujumi sodir bo'lganda,
ushbu kod brauzer tomonidan ushbu Web-sayt foydalanuvchilari uchun bajariladi.
XSS uchun zararli kod yozish uchun umumiy tillardan biri JavaScript hisoblanadi. XSS
foydalanuvchining cookie fayllarini o'g'irlashi mumkin. U Web-sahifani boshqacha ko'rinish va
harakat qilish uchun o'zgartirishi mumkin.
Bundan tashqari, u zararli dasturlarni yuklab olishni
ko'rsatishi va foydalanuvchi sozlamalarini o'zgartirishi mumkin.
XSS hujumlarining ikki turi mavjud. Ular doimiy va doimiy bo'lmagan deb ataladi. Doimiy XSS
hujumida zararli kod sayt ma'lumotlar bazasida saqlanadi. Foydalanuvchi hech qanday
ma'lumotsiz unga kirishi mumkin. Doimiy bo'lmagan XSS hujumi
aks ettirilgan XSS deb ham
ataladi. U zararli skriptni HTTP so'rovi sifatida yuboradi. Bular XSS-ning ikkita asosiy turi.
HTTP qanday protocol- Gipermatnli axborotlarni almashishdir.
Dostları ilə paylaş: