Компьютердик технологиянын тез өнүгүп жаткандыгына карабастан, тармактын коопсуздугу дагы деле болсо орчундуу маселе бойдон калууда. Эң кеңири таралган көрүнүштөрдүн бири - чабуулчуга Интернет-ресурсту толугу менен көзөмөлдөп турууга мүмкүнчүлүк берген XSS аялдамалары. Сайтыңыздын коопсуздугун камсыз кылуу үчүн, аны ушул аялуу жакка текшерип чыгыңыз.
Нускамалар
1 кадам
XSS аялдамасынын маңызы серверде үчүнчү жактын скриптин ишке ашыруу мүмкүнчүлүгүндө, ал хакерге купуя маалыматтарды уурдап алууга мүмкүнчүлүк берет. Адатта, кукилер уурдалат: аларды өзүлөрүнүн ордуна коюп, кол салган адам маалыматты уурдаган адамдын укугу менен сайтка кире алат. Эгер бул администратор болсо, анда хакер дагы администратордун артыкчылыктары менен сайтка кирет.
2-кадам
XSS аялуу жерлери пассивдүү жана активдүү болуп бөлүнөт. Пассивдүү колдонуу сценарийди сайтта аткарса болот, бирок сакталбайт деп болжолдойт. Мындай кемчиликтен пайдалануу үчүн, хакер тигил же бул шылтоо менен сиз жиберген шилтемени чыкылдатууга мажбур кылышы керек. Мисалы, сиз сайттын администраторусуз, жеке билдирүү аласыз жана анда көрсөтүлгөн шилтеме боюнча өтүңүз. Бул учурда, кукилер снайперге барат - хакерге керектүү маалыматтарды кармоо программасы.
3-кадам
Активдүү XSS азыраак кездешет, бирок бир топ коркунучтуу. Мындай учурда, зыяндуу скрипт веб-баракчасында сакталат - мисалы, форумда же коноктор китебинде. Эгерде сиз форумда катталып, ушундай баракча ачсаңыз, анда сиздин кукиңиз автоматтык түрдө хакерге жөнөтүлөт. Ушул себептен, сайттын ушул аялуу жактары бар-жогун текшерип туруу абдан маанилүү.
4-кадам
Пассивдүү XSS издөө үчүн "> alert () сабы колдонулат, ал текст киргизүү талааларына киргизилет, көбүнчө сайттын издөө талаасында. Куулук биринчи тырмакчада: эгер ката кетсе символдорду чыпкалоо учурунда тырмакча издөө сурамын жабуу катары кабыл алынат жана ал аткарылгандан кийинки скрипт Эгерде аялуу жери бар болсо, экранда калкып чыкма терезе көрүнөт, бул түрдөгү аялуу жактар көп кездешет.
5-кадам
Активдүү XSS издөө сайтта кайсы тэгдерге уруксат берилгенин текшерүүдөн башталат. Хакер үчүн эң негизгиси - img жана url тэгдери. Мисалы, билдирүүгө сүрөткө шилтеме киргизип көрүңүз:
6-кадам
Эгер крест дагы бир жолу пайда болсо, хакер ийгиликтин жарымына жетет. Эми *.
7-кадам
Сайтты XSS аялуу жерлери аркылуу кол салуудан кантип сактоого болот? Маалыматтарды киргизүү үчүн, аны мүмкүн болушунча азыраак талаада кармаганга аракет кылыңыз. Андан тышкары, радио баскычтар, кутучалар ж.б. "талаага" айланып калышы мүмкүн. Браузердин барагында бардык жашыруун талааларды көрсөткөн атайын хакердик утилиттер бар. Мисалы, Internet Explorer үчүн IE_XSS_Kit. Бул утилитаны таап, орнотуңуз - ал браузердин контексттик менюсуна кошулат. Андан кийин, сиздин сайттын бардык талааларын мүмкүн болгон аялуу жактары үчүн текшерип көрүңүз.