Kljub hitremu razvoju računalniške tehnologije je omrežna varnost še vedno kritično vprašanje. Ena najpogostejših so ranljivosti XSS, ki napadalcu omogočajo popoln nadzor nad internetnim virom. Da bi zagotovili, da je vaše spletno mesto varno, ga preglejte, ali obstaja ta ranljivost.
Navodila
Korak 1
Bistvo ranljivosti XSS je v možnosti izvedbe skripte neodvisnega proizvajalca na strežniku, ki hekerju omogoča krajo zaupnih podatkov. Piškotke ponavadi ukradejo: z nadomestitvijo piškotkov lahko spletno mesto vstopi s pravicami osebe, katere podatke je ukradel. Če je to skrbnik, bo heker na spletno mesto vstopil tudi s skrbniškimi pravicami.
2. korak
Ranljivosti XSS delimo na pasivne in aktivne. Uporaba pasiva predpostavlja, da je mogoče skript izvesti na spletnem mestu, vendar na njem ne shraniti. Če želite izkoristiti takšno ranljivost, vas mora heker pod takšno ali drugačno pretvezo prisiliti, da kliknete povezavo, ki jo je poslal. Ste na primer skrbnik spletnega mesta, prejmete zasebno sporočilo in sledite povezavi, navedeni v njem. V tem primeru piškotki preidejo na sniffer - program za prestrezanje podatkov, ki jih heker potrebuje.
3. korak
Aktivni XSS so veliko manj pogosti, a veliko bolj nevarni. V tem primeru se zlonamerni skript shrani na spletni strani - na primer v objavi na forumu ali v knjigi gostov. Če ste registrirani na forumu in odprete takšno stran, se piškotki samodejno pošljejo hekerju. Zato je tako pomembno, da lahko na svojem spletnem mestu preverite prisotnost teh ranljivosti.
4. korak
Za iskanje pasivnega XSS se običajno uporablja niz "> alert (), ki ga vnesemo v polja za vnos besedila, najpogosteje v iskalno polje spletnega mesta. Trik je v prvem narekovaju: če pride do napake pri filtriranju znakov je narekovaj zaznan kot zapiranje iskalne poizvedbe in skript po izvedbi Če obstaja ranljivost, se na zaslonu prikaže pojavno okno. Ta vrsta ranljivosti je zelo pogosta.
5. korak
Iskanje aktivnega XSS se začne s preverjanjem, katere oznake so dovoljene na spletnem mestu. Za hekerja sta najpomembnejši oznaki img in url. Na primer, poskusite v sporočilo vstaviti povezavo do slike, kot je ta:
6. korak
Če se križ spet pojavi, je heker na pol poti do uspeha. Zdaj doda še en parameter po razširitvi *.jpg:
7. korak
Kako zaščititi spletno mesto pred napadi prek ranljivosti XSS? Poskusite, da ostane čim manj polj za vnos podatkov. Poleg tega lahko celo izbirni gumbi, potrditvena polja itd. Postanejo "polja". Obstajajo posebni pripomočki za hekerje, ki na strani brskalnika prikažejo vsa skrita polja. Na primer IE_XSS_Kit za Internet Explorer. Poiščite ta pripomoček, ga namestite - dodan bo v kontekstni meni brskalnika. Po tem preverite vsa polja na svojem spletnem mestu za morebitne ranljivosti.
