Unatoč brzom razvoju računalne tehnologije, mrežna sigurnost je i dalje kritično pitanje. Jedna od najčešćih su XSS ranjivosti koje napadaču omogućuju potpunu kontrolu nad internetskim resursom. Da biste osigurali sigurnost svoje web lokacije, trebali biste je skenirati u potrazi za ovom ranjivošću.
Upute
Korak 1
Suština XSS ranjivosti leži u mogućnosti izvršenja skripte treće strane na poslužitelju koja hakeru omogućuje krađu povjerljivih podataka. Kolačići se obično kradu: zamjenjujući ih vlastitim, napadač može ući na web mjesto s pravima osobe čije je podatke ukrao. Ako je ovo administrator, tada će i haker ući na web mjesto s administratorskim privilegijama.
Korak 2
XSS ranjivosti dijele se na pasivne i aktivne. Korištenje pasivne pretpostavlja da se skripta može izvršiti na web mjestu, ali ne i spremiti na njoj. Da bi iskoristio takvu ranjivost, haker vas mora, pod jednim ili drugim izgovorom, prisiliti da kliknete na vezu koju je on poslao. Na primjer, administrator ste web mjesta, primite privatnu poruku i slijedite vezu navedenu u njoj. U ovom slučaju, kolačići idu na njuškalicu - program za presretanje podataka potrebnih hakeru.
3. korak
Aktivni XSS su mnogo rjeđi, ali mnogo opasniji. U tom se slučaju zlonamjerna skripta sprema na stranicu web stranice - na primjer, u post foruma ili knjige gostiju. Ako ste registrirani na forumu i otvorite takvu stranicu, vaši se kolačići automatski šalju hakeru. Zbog toga je toliko važno biti u mogućnosti provjeriti svoje mjesto na prisutnost ovih ranjivosti.
4. korak
Za traženje pasivnog XSS-a obično se koristi niz "> alert () koji se unosi u polja za unos teksta, najčešće u polje za pretraživanje web mjesta. Trik je u prvom navodniku: ako postoji pogreška u filtriranju znakova navodnik se smatra zatvaranjem upita za pretraživanje, a skripta nakon izvršenja Ako postoji ranjivost, vidjet ćete skočni prozor na zaslonu. Ranjivost ove vrste vrlo je česta.
Korak 5
Pronalaženje aktivnog XSS-a započinje provjerom oznaka koje su dopuštene na web mjestu. Za hakere su najvažnije img i url oznake. Na primjer, pokušajte umetnuti vezu do slike u poruku poput ove:
Korak 6
Ako se križ ponovno pojavi, haker je na pola puta do uspjeha. Sada dodaje još jedan parametar nakon proširenja *.jpg:
7. korak
Kako zaštititi web mjesto od napada putem XSS ranjivosti? Pokušajte zadržati što manje polja za unos podataka. Štoviše, čak i radio gumbi, potvrdni okviri itd. Mogu postati "polja". Postoje posebni hakerski programi koji prikazuju sva skrivena polja na stranici preglednika. Na primjer IE_XSS_Kit za Internet Explorer. Pronađite ovaj uslužni program, instalirajte ga - bit će dodan u kontekstni izbornik preglednika. Nakon toga provjerite u svim poljima svoje web stranice moguće ranjivosti.