آشنایی با حملات XSS

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

امتیاز کاربران

ستاره فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

حملات Xss یا Cross Site Scripting  

XSS یکی از حملات تزریق به پایگاه داده است که در آن کدهای سمت کلاینت مانند جاوا اسکریپت به سایت تزریق شده و  بدین وسیله هکرها خواهند توانست اطلاعات کاربران وب سایت مورد نظر را بدون اطلاع آنها سرقت کنند.بدین صورت که هکرها کدهای خود را جایگزین کدهای صفحات داینامیک سایت میکنند.هنگامیکه وب سایت از کاربر درخواست اطلاعات میکند ، کدهای جایگزین هکر بر روی سیستم کاربر اجرا شده و میتوانند اطلاعات مهم سیستم شخصی کاربران را سرقت کنند.

اگرچه مخفف CSS ، Cross Site Scripting میباشد اما با توجه به اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.

زبانهای متداول مورد استفاده در XSS عبارتند از:

JavaScript ، VBScript ، HTML ، Perl ، C++ ، ActiveX و Flash

 

روش حمله

با طرح مثالی به شرح روش حمله میپردازیم. کاربری در وب سایت بانک خود وارد شده و اطلاعات کاربری خود را در صفحه لاگین وارد میکند. در صورتیکه وب سایت در برابر حمله XSS محافظت نشده باشد ، اطلاعات کاربر توسط هکر به سرقت رفته و میتواند از حساب بانکی کاربر استفاده سوء نماید. با وجود اینکه روش های مقابله با XSS اعمال شده است ولی باز هم تمامی وب سایت هایی که اطلاعات کاربران را دریافت میکنند ، مستعد این حملات هستند.ئدر این حمله با کلیک بر روی یک لینک در ایمیل ، کدی به صورت مخفی در سیستم کاربر اجرا شده و هکر با استفاده از این کد خواهد توانست اطلاعات سیستم کاربر را بدست آورد. همچنین یکی دیگر از روش های حمله بدین صورت هست که با دستیابی به کوکی هایی که وب سایت های مختلف برای ذخیره اطلاعات لاگین کاربران در سیستم وی ایجاد و ذخیره میکنند ، اطلاعات کاربران را سرقت میکنند.

 

انواع حملات XSS

روشهای متداولی که کاربران مورد حمله قرار میگیرند عبارتند از :

  • باز کردن یک صفحه وب
  • كليك بر روی لینک حاوی XSS توسط کاربر
  • باز کردن ایمیل حاوی XSS توسط کاربر
  • طراح سایت، کد مخرب را در صفحه قرار داده باشد.
  • حفره سایت ممکن است درسطح سیستم ‌عامل یا شبکه ایجادشده باشد.

توجه نمایید که با استفاده از JavaScript  حتی با بازنمودن یک ایمیل و حتی مشاهده یک سایت، حمله XSS انجام خواهد شد.

 

با انجام حملات XSS موارد زیر در اختیار هکر قرار خواهد گرفت:

  • تغيير تنظيمات كاربر
  • ربودن حسابها
  • ربودن كوكی ها
  • اعمال كدهای تخریب کننده
  • لینک به سايت های مخرب
  • راه اندازی تبليغات كاذب

 

روش های جلوگیری از XSS

اضافه نمودن كدی به برنامه تحت وب است تا باعث شود از برخي تگ های فرمان در ورودی پويا چشم پوشی شود. 

تگ های قابل استفاده در XSS عبارتند از:

  • <script>
  • <object>
  • <applet>
  • <embed>
  • <form>
  • استفاده از مرورگرهای وب امن مانند Firefox و Opera که امنیت بالاتری نسبت به IE دارند. اینترنت اکسپلورر از جمله مرورگرهایی است که نقاط ضعف زیادی دارد و بسیار در معرض خطر است.
  • بكارگيری ابزارهایی كه اجرای كدهای  Script،Flash و هر کد مخرب دیگری را محدود مي كنند. مثل NoScript
  • بر روی لینک ها و ایمیل های ناشناس کلیک نکنید.سعی نمایید تا آدرس را مستقیما در نوار آدرس وارد کنید. و یا اینکه برای جلوگیری از این نوع حمله ایمیل را روی حالت Html یا متنی قرار دهید تا کدهای مخرب خود به خود اجرا نشوند.
  • استفاده از توابعی که عملیات پاکسازی کدها را انجام می دهند. مثل htmlentities در زبان PHP (فیلتر نمودن ورودی های کاربر و همچنین کدهای خروجی)
  • سعی کنید گزینه یادآوری نام کاربری و رمز عبور را در مرورگرهای خود غیر فعال کرده و به صورت دوره ای رمز عبور ایمیل های خود را تغییر دهید.
  • بهتر است از یک ایمیل مجزا برای حساب های کاربری مهم خود مانند حساب بانکی و … استفاده کرده و از آن برای ارتباطات روزانه استفاده نکنید.