Компьютерийн технологи хурдацтай хөгжиж байгаа хэдий ч сүлжээний аюулгүй байдал нэн чухал асуудал хэвээр байна. Хамгийн нийтлэг зүйл бол халдагчид интернетийн нөөцийг бүрэн хянах боломжийг олгодог XSS-ийн эмзэг байдал юм. Таны сайтын аюулгүй байдлыг хангахын тулд энэ эмзэг байдлыг хайж олох хэрэгтэй.
Зааварчилгаа
1-р алхам
XSS-ийн эмзэг байдлын мөн чанар нь хакерд нууц мэдээллийг хулгайлах боломжийг олгодог гуравдагч этгээдийн скриптийг сервер дээр гүйцэтгэх боломжтой байдаг. Ихэвчлэн күүкийг хулгайлдаг: халаагагч нь өгөгдлийг хулгайлсан хүний эрхээр сайт руу орж болно. Хэрэв энэ нь администратор бол хакер сайтад администраторын эрхээр нэвтрэх болно.
Алхам 2
XSS-ийн эмзэг байдлыг идэвхгүй, идэвхтэй гэж хуваадаг. Идэвхгүй хэрэглээ нь скриптийг сайт дээр гүйцэтгэж болох боловч хадгалагдахгүй гэж үздэг. Иймэрхүү эмзэг байдлыг ашиглахын тулд хакер нэг шалтгаанаар өөрөөр нь дамжуулан илгээсэн холбоос дээр дарах хэрэгтэй. Жишээлбэл, та сайтын администратор бөгөөд хувийн мессеж хүлээн авч, түүнд заасан холбоосоор орно уу. Энэ тохиолдолд күүки нь хакерд шаардлагатай өгөгдлийг таслан зогсоох програм болох sniffer руу очдог.
Алхам 3
Идэвхтэй XSS нь харьцангуй бага боловч илүү аюултай байдаг. Энэ тохиолдолд хор хөнөөлтэй скриптийг вэбсайтын хуудсан дээр хадгалдаг - жишээлбэл, форум эсвэл зочдын номын бичлэгт. Хэрэв та форумд бүртгүүлээд ийм хуудас нээвэл таны күүки автоматаар хакер руу илгээгдэнэ. Ийм учраас эдгээр эмзэг байдал байгаа эсэхийг сайтаа шалгаж үзэх нь маш чухал юм.
Алхам 4
Идэвхгүй XSS-ийг хайхын тулд ихэвчлэн "> alert ()" мөрийг ашигладаг бөгөөд текст оруулах талбарт ихэвчлэн сайтын хайлтын талбарт оруулдаг. Заль мэх нь эхний ишлэл дээр байдаг: хэрэв алдаа байвал тэмдэгтүүдийг шүүж үзэхэд ишлэлийг хайлтын асуулгыг хааж, гүйцэтгэсэний дараа скриптийг ойлгодог. Хэрэв сул тал байвал дэлгэцэн дээр гарч ирэх цонхыг харах болно.
Алхам 5
Идэвхтэй XSS-ийг хайж олох нь сайт дээр ямар хаягууд байхыг зөвшөөрснөөс эхэлнэ. Хакерын хувьд хамгийн чухал нь img болон url хаягууд юм. Жишээлбэл, зурган дээрх холбоосыг дараахь байдлаар оруулахыг хичээгээрэй:
Алхам 6
Хэрэв загалмай дахин гарч ирвэл хакер нь амжилтанд хүрэх хагас зам юм. Одоо *.
Алхам 7
XSS-ийн эмзэг байдлын улмаас сайтыг халдлагаас хэрхэн хамгаалах вэ? Өгөгдөл оруулах талбарыг аль болох цөөн байлгахыг хичээ. Түүнээс гадна радио товчлуур, хайрцаг гэх мэтийг хүртэл "талбар" болгож болно. Хөтчийн хуудсан дээрх бүх далд талбаруудыг харуулдаг хакерын тусгай хэрэгслүүд байдаг. Жишээ нь Internet Explorer-д зориулсан IE_XSS_Kit. Энэ хэрэгслийг хайж олоод суулгаарай - энэ нь хөтчийн контекст цэсэнд нэмэгдэх болно. Үүний дараа боломжит эмзэг байдлын талаар сайтынхаа бүх талбарыг шалгана уу.
