Tietokonetekniikan nopeasta kehityksestä huolimatta verkkoturvallisuus on edelleen kriittinen kysymys. Yksi yleisimmistä ovat XSS-haavoittuvuudet, joiden avulla hyökkääjä saa täydellisen hallinnan Internet-resursseista. Varmista, että sivustosi on suojattu, tarkistamalla se tämän haavoittuvuuden varalta.
Ohjeet
Vaihe 1
XSS-haavoittuvuuden ydin on mahdollisuus suorittaa kolmannen osapuolen komentosarja palvelimelle, jonka avulla hakkeri voi varastaa luottamuksellisia tietoja. Yleensä evästeet varastetaan: Korvaamalla ne omilla, hyökkääjä voi päästä sivustolle sen henkilön oikeuksilla, jonka hän varastaa. Jos tämä on järjestelmänvalvoja, hakkeri tulee myös sivustoon järjestelmänvalvojan oikeuksilla.
Vaihe 2
XSS-haavoittuvuudet on jaettu passiivisiin ja aktiivisiin. Passiivinen käyttö olettaa, että komentosarja voidaan suorittaa sivustolla, mutta ei tallentaa siihen. Hyödyntääkseen tällaista haavoittuvuutta hakkerin on pakotettava sinut tekosyyllä tai toisella napsauttamaan hänen lähettämääsä linkkiä. Olet esimerkiksi sivuston järjestelmänvalvoja, vastaanotat yksityisen viestin ja seuraat siinä määritettyä linkkiä. Tällöin evästeet menevät haisteluun - ohjelma hakkereiden tarvitsemien tietojen sieppaamiseen.
Vaihe 3
Aktiivinen XSS on paljon harvinaisempi, mutta paljon vaarallisempi. Tällöin haitallinen komentosarja tallennetaan verkkosivulle - esimerkiksi foorumin tai vieraskirjan viestiin. Jos olet rekisteröitynyt foorumille ja avaat tällaisen sivun, evästeesi lähetetään automaattisesti hakkereille. Siksi on niin tärkeää, että pystyt tarkistamaan sivustosi näiden haavoittuvuuksien varalta.
Vaihe 4
Passiivisen XSS: n etsimiseen käytetään yleensä merkkijonoa "> alert (), joka syötetään tekstinsyöttökenttiin, useimmiten sivuston hakukenttään. Temppu on ensimmäisessä lainausmerkissä: jos on virhe suodatettaessa merkkejä, lainausmerkki koetaan sulkevan hakukyselyn ja komentosarjan sen suorittamisen jälkeen Jos on haavoittuvuutta, näet ponnahdusikkunan ruudulla. Tämäntyyppinen haavoittuvuus on hyvin yleistä.
Vaihe 5
Aktiivisen XSS: n etsiminen alkaa tarkistamalla, mitkä tagit ovat sallittuja sivustolla. Hakkerille tärkeimmät ovat img- ja URL-tagit. Yritä esimerkiksi lisätä linkki kuvaan viestiin näin:
Vaihe 6
Jos risti ilmestyy uudelleen, hakkeri on puolivälissä menestykseen. Nyt se lisää yhden parametrin *.jpg-laajennuksen jälkeen:
Vaihe 7
Kuinka suojata sivusto hyökkäyksiltä XSS-haavoittuvuuksien kautta? Yritä pitää se mahdollisimman vähän kenttiä tietojen syöttämistä varten. Lisäksi jopa valintanäppäimistä, valintaruuduista jne. Voi tulla "kenttiä". On olemassa erityisiä hakkereita, jotka näyttävät kaikki piilotetut kentät selaimen sivulla. Esimerkiksi IE_XSS_Kit Internet Explorerille. Etsi tämä apuohjelma, asenna se - se lisätään selaimen pikavalikkoon. Tämän jälkeen tarkista kaikki sivustosi kentät mahdollisten haavoittuvuuksien varalta.