11-Amaliy: XSS xujum
Saytlararo skript (XSS) - bu jabrlanuvchining brauzerida kodni bajarish va maxfiy
ma'lumotlarni o'g'irlash yoki boshqa zararli harakatlarni amalga oshirish
uchun odatda skript
shaklida Web-saytga zararli kodni kiritishni o'z ichiga olgan hujum turi. XSS hujumlarini qanday
amalga oshirish mumkinligiga bir nechta misollar:
Shakllar orqali in'ektsiya: Buzg'unchi zararli kodni Web-saytdagi ariza maydoniga, masalan,
qidiruv maydoni yoki sharh bo'limiga
kiritishi mumkin, bu ilova tomonidan to'g'ri
tasdiqlanmagan. Shakl topshirilganda, kod jabrlanuvchining brauzeri tomonidan bajariladi.
URL-manzillar orqali yuborish: Buzg'unchi Web-saytdagi URL-ga
zararli kodni kiritishi
mumkin, odatda so'rov parametrlari yoki qismlarini manipulyatsiya qilish orqali,
havola
bosilganda qurbonning brauzeri tomonidan bajariladi.
Saqlangan XSS: Yuqoridagilarning o'zgarishi, bu holda tajovuzkor Web-saytga zararli kodni
kiritadi, bu kod Web-saytda saqlanadi va har safar jabrlanuvchi tomonidan sahifa yuklanganida
skript bajariladi.
DOM-ga asoslangan XSS:
Bu holda, tajovuzkor Web-saytdagi JavaScript kodini boshqaradi,
keyin esa jabrlanuvchining brauzeri tomonidan amalga oshiriladi.
XSS hujumlarining oldini olish uchun foydalanuvchi kiritgan ma'lumotlarni to'g'ri tekshirish va
brauzer tomonidan har qanday zararli kodni ishga tushirishni oldini
olish uchun uni tozalash
muhim ahamiyatga ega. Bundan tashqari, qaysi skriptlarni ishga
tushirishga ruxsat berish
qoidalarini belgilovchi Kontent xavfsizligi siyosatidan (CSP) foydalanish yaxshi amaliyotdir,
shuningdek, XSS hujumlarining oldini olishga yordam beradi. Brauzer
tomonidan kod sifatida
noto'g'ri talqin qilinishiga yo'l qo'ymaslik uchun kirishdagi har qanday maxsus belgilardan
avtomatik ravishda qochishi mumkin bo'lgan ramkadan foydalanish ham muhimdir.
Bundan tashqari, Web-server, ma'lumotlar bazasi va Web-ilovani o'z ichiga olgan barcha Web-
dasturlarni yangilab turish muhimdir.
Dostları ilə paylaş: