Cross Scripting site Attack part 1(XSS)

شروع موضوع توسط Meteor ‏8 ژوئن 2004 در انجمن سیستمهای مدیریت محتوای وب سایت

  1. Meteor

    Meteor کاربر تازه وارد

    تاریخ عضویت:
    ‏31 می 2004
    نوشته ها:
    124
    تشکر شده:
    1
    مقدمه
    سایت های وب اینروز ها بیشتر پیچیده شده و حاوی اطلاعات متغیر و دینامیکی هستندکه برای کاربر بسیار جذاب تر می شوند .محتویات متغیر از ابزار هایی کمک میگیرند تا خروجی متفاوتی را بنا به درخواست کاربر مبنی بر تنظیمات و یا احتیاجات آنها فراهم نمایند . صفحات دینامیک از مشکلی رنج میبرند که صفحات استاتیک از آین مشکل دور هستند . و این مشکل همان Cross Site Scripting یا XSS می باشد . امروزه در این مورد صحبت زیادی در میان نیست و کسی دقیقا اونها رو برای کاربران و مدیران توضیح نداده . این مقاله برای این نوشته شده تا راهنمایی باشه برای این مشکل .
    XSS چیست ؟
    XSS زمانی اتفاق می افته که یک اپلیکیشن وب اطلاعات غیر صحیحی را از یک کاربر دریافت کنه . این اطلاعات معمولا در قالب هایپر لینک ها که حاوی اطلاعات نادرست باشند قرار میگیرند . کاربر بر روی این لینک از درون سایت دیگری کلیک کرده و یا یک پیام را خوانده و یا به یک بورد خبری دسترسی پیدا میکند .معمولا یک حمله کننده قسمت های نا درست لینک را به مقادیر هگز و یا هر نوع دیگری تبدیل کرده و اطلاعات لینک را از دید کاربر مخفی میکند.بعد از اینکه اطلاعات به سرویس دهنده ارسال شد سرویس دهنده خوجی ا تولید میکند که حاوی اطلاعات نادرست می باشد . به عنوان مثال کتابچه های میهمانو یا بورد های خبری که امکان قرار دادن صفحات وب را به صورت متنی به کار بر می دهند می توانند مثلا به من که با شناسه شهاب وارد سایت شده ام و پیامی را که توسط علی نوشته شده و حاوی مطالب ناصحیح است را می خوانم (Javascript) حالا ممکنه این امکان برای علی باشه که بتونه سشن من را فقط با خواندن مطلب اون توسط من هیجک کنه. یا همون سشن دزدی.
    روش دزدی سشن را د ادامه مطلب می گم .
    اما معانی XSS و CSS چه هستند ؟
    برخی از افراد برنامه نویسی ضربدری سایت را با CSS اشتباه میگیرن که همون CAse Style Sheet خودمون باشه که توی وب کار میکنه . بعضی از مدم که توی زمینه های امنیتی کار میکنن این روش را XSS نامگذاری کرده اند . پس اگر جایی شنیدید که یکی گفت من یه سوراخ امنیتی توی برنامه نویسی ضربدری پیدا کرده ام بدونین که داره از XSS حرف میزنه.
    ترید های اسکریپت نویسی ضربدری چی هستند ؟
    معمولا هکر ها با تزریق جاوا اسکریپت یا اکتیو ایکس یا اپ تی ام ال یا فلش به داخل یه نرم افزار ضعیف سر کاربر را شیره میمالن و اطلاعاتی را که بخواهن از اونها میگیرن . هر چیزی از دزدی اکانت و تغییر تنظیمات کاربر و دزدی و مسموم کردن کوکی ها یا تبلیغات منفی را برای خودشون ممکن می کنن.
    هر روز یه سوراخ امنیتی جدید از اسکریپت نویسی ضربدری پیدا میشه . ادامه مطلب حملات داس و حملات خودکاری را توضیح میده که مثلا کاربر با خواندن یه بورد بوجود میاد را توضیح میده .
    http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0311.html
    تعدادی از سایت های اسکریپت ضربدری به عنوان مثال :
    معمولا چیز هایی که مورد حمله قرار میگیرن و دارای این سوراخ هستند PHP های معروف و PHPnuke هستند. این محصول معمولا مورد حمله قرار میگیره چون بیشتر معروف هستند . در زیر مثال هایی از این سایت هاآورده شده :
    http://www.cgisecurity.com/archive/php/phpNuke_cross_site_scripting.txt
    http://www.cgisecurity.com/archive/php/phpNuke_CSS_5_holes.txt
    http://www.cgisecurity.com/archive/php/phpNuke_2_more_CSS_holes.txt
    میشه به من نشون بدین که دزدی کوکی توسط XSS چطور انجام میشه ؟
    دقت داشته باشین که حملات و مسموم کردن یه سایت بنا به نوع ابزار و برنامه متغییر است . و در زیر شما اهی را میبینید که جزو راههای ساده ه حمله گر هست .
    اول هدف گرفتن
    بعد از اینکه یه سوراخ XSS را توی یه سایت پیدا کردین چک کنید ببنیید از کوکی استفاده میکنه یا نه ؟اگر قسمتی از سایت از کوکی استفاده میکنه پس این امکان هست که کوکی های بقیه را بدزدین
     
  2. خرید بک لینکبازدیدیار - افزایش بازدید سایت و سیگنال های برند
  3. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    مرسي از مطالب خوبت.
    ولي اگه لطف مي كردي اينها رو تو يه thread مسايل مربوط به امنيت شبكه مي نوشتي خيلي توپ بود. همه يه جا باشه خيلي عالي ميشه.
     
  4. koorosh

    koorosh Registered User

    تاریخ عضویت:
    ‏12 دسامبر 2002
    نوشته ها:
    1,525
    تشکر شده:
    10
    محل سکونت:
    Iran - Tehran
    فکر ميکنم اين مطلب بيشتر از اينکه به شبکه مربوط بشه، به برنامه نويسی تحت وب ارتباط داره . . .
     
عسل طبیعی و گرده گل ایرانیخدمات پی پال، وسترن یونیون