حملاتXSS

حملات XSS یا Cross Site Scripting

حملات XSS  یک نوع حمله با تزریق کد مخرب در سایت است که هدف آن به دست آوردن اطلاعات کاربرانی است که به سایت مراجعه کرده اند آن سایت است.

درست است که Cross Site Scripting  مخفف CSS ، میباشد اما به دلیل اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.

هدف مهاجم این است که با درج کد مخرب در یک صفحه وبسایت ، اسکریپت های مخرب را در مرورگرهای کاربران که قربانی هستند اجرا کند.

با باز کردن صفحه وب سایت آلوده یا کلیک روی یک لینک مخرب و یا باز کردن یک ایمیل، کدی به صورت مخفی روی سیستم کامپیوتر کاربران اجرا میشود که می‌تواند اطلاعات مهمی را از سیستم کاربر سرقت کند.

 

انواع حملات Xss :

Non-Persistant XSS یا Reflected XSS

این نوع حمله بیشتر در صفحاتی اتفاق می افتد که اطلاعات بدون بررسی از فرم های Html گرفته می شوند

Persistant XSS یا Stored XSS

فرض کنید یک فرم شامل یک یا چند کادر متنی برای وارد کردن اطلاعات کاربران است به عنوان مثال فرم ثبت نام، فرم ارتباط با ما و … که پس از پرکردن و ارسال فرم اطلاعات قرار است در پایگاه داده ذخیره شوند.

اگر اطلاعات بدون هیچ بررسی در پایگاه داده ذخیره شوند بزودی هکری پیدا خواهد شد که آسیب پذیری این فرم را کشف کرده و کدهای مخرب را به جای اطلاعات سالم ارسال خواهد کرد 

این نوع حمبه از نوع قبلی به مراتب بدتر است

 

اگر شخصی با استفاده از حملات XSS اسکریپت‌های مخرب جاوا را روی سایت شما اجرا کند، امنیت وب‌سایت شما پایین آمده و در معرض خطر قرار می‌گیرد بنابراین XSS فقط مشکل کاربر نیست و هر خطر امنیتی که کاربر سایت شما را تهدید کند، خود شما را هم تهدید خواهد کرد.

حملاتXSS

خطرات:

دزدیدن اطلاعاتی مثل رمز عبور:

هکر به سادگی می‌تواند فیلد وارد کردن رمز عبور را مانیتور کرده و بدزدد

دزدیدن کوکی‌ها:

هکر می‌تواند با استفاده از کوکی‌ها و بدون وارد کردن رمز، وارد حساب شما شود.

ارسال درخواست‌های جعلی:

هکر می‌تواند با تزریق کدی، درخواست‌های تقلبی را از مرورگر کاربر رد و بدل کند یا می‌تواند اقدام به DDoS   کند.

روش های مقابله با حملات XSS

 

  1. هر چیزی که چاپ می‌کنید را فیلتر یا اسکیپ کنید.
  2. نصب پلاگین امنیتی
  3. اعتبار سنجی ورودی

 

 

 

 

 

 

 

 

 

درحال ارسال
امتیاز دهی کاربران
0 (0 رای)
0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگو شرکت کنید؟
نظری بدهید!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.