Компьютерлік технологияның қарқынды дамуына қарамастан, желілік қауіпсіздік әлі де маңызды мәселе болып табылады. Ең жиі кездесетіндердің бірі - шабуылдаушыға интернет-ресурсты толық басқаруға мүмкіндік беретін XSS осалдықтары. Сіздің сайтыңыздың қауіпсіздігіне көз жеткізу үшін оны осы осалдық үшін тексеріп шығуыңыз керек.
Нұсқаулық
1-қадам
XSS осалдығының мәні серверде хакерге құпия деректерді ұрлауға мүмкіндік беретін үшінші тараптың сценарийін орындау мүмкіндігінде жатыр. Әдетте печенье ұрланады: оларды өздеріне алмастыру арқылы қаскүнем сайтқа өзі ұрлаған адамның құқығымен кіре алады. Егер бұл әкімші болса, онда хакер сайтқа әкімші артықшылықтарымен кіреді.
2-қадам
XSS осалдықтары пассивті және белсенді болып бөлінеді. Пассивті қолдану сценарийді сайтта орындауға болады, бірақ онда сақталмайды деп болжайды. Осындай осалдықты пайдалану үшін хакер сол немесе басқа сылтаумен сіз жіберген сілтемені басуға мәжбүр етуі керек. Мысалы, сіз сайт әкімшісіз, жеке хабарлама аласыз және онда көрсетілген сілтемеге өтіңіз. Бұл жағдайда печенье снайперге - хакерге қажет деректерді ұстап алуға арналған бағдарламаға барады.
3-қадам
Белсенді XSS сирек кездеседі, бірақ әлдеқайда қауіпті. Бұл жағдайда зиянды сценарий веб-сайттың парағында сақталады - мысалы, форумда немесе қонақтар кітабында. Егер сіз форумда тіркеліп, осындай парақ ашсаңыз, сіздің cookies файлдарыңыз автоматты түрде хакерге жіберіледі. Сондықтан сіздің сайтыңызды осы осалдықтардың бар-жоғын тексере білу өте маңызды.
4-қадам
Пассивті XSS іздеу үшін «> alert ()» жолын пайдаланады, ол мәтін енгізу өрістеріне, көбінесе сайттың іздеу өрісіне енгізіледі. Фокус бірінші тырнақшада: егер қате болса таңбаларды сүзгілеу кезінде тырнақша іздеу сұранысын жабу ретінде қабылданады және ол орындалғаннан кейінгі сценарий Егер осалдық болса, сіз экранда қалқымалы терезені көресіз. Бұл түрдегі осалдық өте кең таралған.
5-қадам
Белсенді XSS іздеу сайтта қандай тегтерге рұқсат берілгендігін тексеруден басталады. Хакер үшін ең маңыздысы img және url тэгтері. Мысалы, хабарламаға суретке сілтеме енгізіп көріңіз:
6-қадам
Егер крест тағы пайда болса, хакер жетістікке жетудің жарты жолында. Енді *.
7-қадам
Сайтты XSS осалдықтары арқылы шабуылдардан қалай қорғауға болады? Деректерді енгізу үшін мүмкіндігінше аз өрістерді сақтауға тырысыңыз. Сонымен қатар, тіпті радио батырмалар, құсбелгілер және т.б. «өрістерге» айналуы мүмкін. Браузер парағында барлық жасырын өрістерді көрсететін арнайы хакерлік утилиталар бар. Мысалы Internet Explorer арналған IE_XSS_Kit. Бұл утилитаны табыңыз, орнатыңыз - ол браузердің мәтінмәндік мәзіріне қосылады. Осыдан кейін сіздің сайтыңыздың барлық өрістерін ықтимал осалдықтарға тексеріңіз.
