حملات XSS یا Cross Site Scripting
حملات XSS یک نوع حمله با تزریق کد مخرب در سایت است که هدف آن به دست آوردن اطلاعات کاربرانی است که به سایت مراجعه کرده اند آن سایت است.
درست است که Cross Site Scripting مخفف CSS ، میباشد اما به دلیل اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.
هدف مهاجم این است که با درج کد مخرب در یک صفحه وبسایت ، اسکریپت های مخرب را در مرورگرهای کاربران که قربانی هستند اجرا کند.
با باز کردن صفحه وب سایت آلوده یا کلیک روی یک لینک مخرب و یا باز کردن یک ایمیل، کدی به صورت مخفی روی سیستم کامپیوتر کاربران اجرا میشود که میتواند اطلاعات مهمی را از سیستم کاربر سرقت کند.
انواع حملات Xss :
Non-Persistant XSS یا Reflected XSS
این نوع حمله بیشتر در صفحاتی اتفاق می افتد که اطلاعات بدون بررسی از فرم های Html گرفته می شوند
Persistant XSS یا Stored XSS
فرض کنید یک فرم شامل یک یا چند کادر متنی برای وارد کردن اطلاعات کاربران است به عنوان مثال فرم ثبت نام، فرم ارتباط با ما و … که پس از پرکردن و ارسال فرم اطلاعات قرار است در پایگاه داده ذخیره شوند.
اگر اطلاعات بدون هیچ بررسی در پایگاه داده ذخیره شوند بزودی هکری پیدا خواهد شد که آسیب پذیری این فرم را کشف کرده و کدهای مخرب را به جای اطلاعات سالم ارسال خواهد کرد
این نوع حمبه از نوع قبلی به مراتب بدتر است
اگر شخصی با استفاده از حملات XSS اسکریپتهای مخرب جاوا را روی سایت شما اجرا کند، امنیت وبسایت شما پایین آمده و در معرض خطر قرار میگیرد بنابراین XSS فقط مشکل کاربر نیست و هر خطر امنیتی که کاربر سایت شما را تهدید کند، خود شما را هم تهدید خواهد کرد.
خطرات:
دزدیدن اطلاعاتی مثل رمز عبور:
هکر به سادگی میتواند فیلد وارد کردن رمز عبور را مانیتور کرده و بدزدد
دزدیدن کوکیها:
هکر میتواند با استفاده از کوکیها و بدون وارد کردن رمز، وارد حساب شما شود.
ارسال درخواستهای جعلی:
هکر میتواند با تزریق کدی، درخواستهای تقلبی را از مرورگر کاربر رد و بدل کند یا میتواند اقدام به DDoS کند.
روش های مقابله با حملات XSS
- هر چیزی که چاپ میکنید را فیلتر یا اسکیپ کنید.
- نصب پلاگین امنیتی
- اعتبار سنجی ورودی
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگو شرکت کنید؟نظری بدهید!