Ondanks die vinnige ontwikkeling van rekenaartegnologie, is netwerksekuriteit steeds 'n kritieke saak. Een van die algemeenste is XSS-kwesbaarhede waarmee 'n aanvaller volledige beheer oor 'n internetbron kan verkry. Om te verseker dat u webwerf veilig is, moet u dit na hierdie kwesbaarheid soek.
Instruksies
Stap 1
Die kern van die XSS-kwesbaarheid lê in die moontlikheid om 'n script van derdepartye op die bediener uit te voer waarmee 'n hacker vertroulike data kan steel. Gewoonlik word koekies gesteel: deur dit te vervang deur hul eie, kan 'n aanvaller die webwerf betree met die regte van die persoon wie se data hy gesteel het. As dit 'n administrateur is, sal die hacker ook die webwerf met administrateurregte betree.
Stap 2
XSS-kwesbaarhede word verdeel in passief en aktief. Die gebruik van passiewe veronderstel dat die script op die webwerf uitgevoer kan word, maar nie daarop gestoor kan word nie. Om so 'n kwesbaarheid te benut, moet 'n hacker u onder die een of ander voorwendsel dwing om op die skakel te klik wat hy gestuur het. U is byvoorbeeld 'n werfadministrateur, ontvang 'n privaat boodskap en volg die skakel wat daarin gespesifiseer word. In hierdie geval gaan die koekies na 'n snuffel - 'n program om die data wat die hacker benodig te onderskep.
Stap 3
Aktiewe XSS kom baie minder voor, maar baie gevaarliker. In hierdie geval word die kwaadwillige skrif op 'n webwerfblad gestoor - byvoorbeeld in 'n forum of in 'n gasteboek. As u op die forum geregistreer is en so 'n bladsy oopmaak, word u koekies outomaties na die hacker gestuur. Dit is waarom dit so belangrik is om u webwerf na hierdie kwesbaarhede te kan ondersoek.
Stap 4
Om na passiewe XSS te soek, word die string "> alert () gewoonlik gebruik, wat in die teksinvoervelde ingevoer word, meestal in die soekveld van die werf. Die truuk is in die eerste aanhalingsteken: as daar 'n fout is by die filter van karakters word die aanhalingsteken beskou as die soektog en die script nadat dit uitgevoer is, afgesluit. As daar 'n kwesbaarheid is, sien u 'n pop-upvenster op die skerm. 'n Kwesbaarheid van hierdie tipe is baie algemeen.
Stap 5
Om aktiewe XSS te vind, begin deur te kyk watter etikette op die werf toegelaat word. Die belangrikste is vir 'n hacker die img en url tags. Probeer byvoorbeeld om 'n skakel na 'n foto in die boodskap soos volg in te voeg:
Stap 6
As die kruis weer verskyn, is die haker halfpad suksesvol. Nou voeg dit nog een parameter by na die *.jpg-uitbreiding:
Stap 7
Hoe kan u 'n webwerf beskerm teen aanvalle deur XSS-kwesbaarhede? Probeer om dit so min moontlik vir die invoer van data in te hou. Daarbenewens kan selfs radioknoppies, regmerkies, ens. 'Velde' word. Daar is spesiale hacker-hulpprogramme wat alle verborge velde op die blaaierbladsy vertoon. Byvoorbeeld IE_XSS_Kit vir Internet Explorer. Soek hierdie program, installeer dit - dit word by die blaaier-konteksmenu gevoeg. Kyk daarna op alle velde op u webwerf vir moontlike kwesbaarhede.