ورود کاربران

نام کاربری:     کلمه عبور:  
  مرا به یاد داشته باش

رمز عبور خود را فراموش کرده اید؟

ایمیل (نام کاربری):     کلمه عبور به ایمیل شما ارسال خواهد شد.
  گزارش ارزیابی سایت

امنیت سایت: حمله XSS

بازگشت به لیست
خلاصه ای از دستورالعمل
نـوع عملیـات :
اولویت انجـام : بالا
سختی اجراء : متوسط
متوسط امتیاز : 95
مرور دستورالعمل پیش از آنکه بخواهیم از وب سایت خود در برابر حملات هکرها دفاع کنیم ، ابتدا باید شناخت کافی بر انواع حملات داشته باشیم . روش هکرها در ابتدای شروع کار نیاز سنجی و شناخت محیط هدف می باشد. پس از شناخت محیط قدم دوم پیدا کردن ضعف ها و نقاط نفوذی می باشد. قدم آخر حمله به هدف و از بین بردن سه اصل مهم امنیت (محرمانگی اطلاعات، صحت اطلاعات و دسترسی آنها) می باشد.
شرح جزئیات
fiogf49gjkf0d

 

images/uploader/a4c9761b-647e-4f4a-8728-c636300335d1.png

یکی از انواع حملاتی که امروزه بسیار شایع است حمله (XSS  (Cross- site scripting  می باشد. شاید این سوال بیش آید که چرا حرف اول آن C  نمی باشد. دلیل این امر جلوگیری از تداخل با نام  (CSS(Cascading Style Sheets  است که در واقع زبانی  برای تعریف قالب وب سایت ها می باشد.

نقطه ضعف نفوذی XSS

این نقطه ضعف نفوذی بیشتر در web application   ها وجود دارد که به هکرها اجازه می دهد تا کد و یا script  مورد نظر مربوط به  سمت کاربر(مانند کوکی ها که اطلاعات نشست بوجود آمده بین سرور بانک و کامپیوتر کاربر را در قالب فایل txt  به اندازه 1 کیلوبایت در آنها  ذخیره می شود) را در کدهای وب سایت تزریق کند و زمانی که کاربر به عنوان مثال بخواهد صفحه پرداخت اینترنتی که نیاز به ورود اطلاعات حساب از جمله رمز عبور و شماره کارت می باشد  وارد نماید  نشست مورد نظر دزدیده شده و تحت کنترل  هکر در می آید  و تمام اطلاعات به دست هکر افشا می شود.این نوع نقطه ضعف نفوذی 84% از افشای اطلاعات سال 2007 را به خود اختصاص می دهد. تمامی وب سایت هایی که اطلاعات از کاربران خود دریافت می کنند مستعد اینگونه حملات می باشند.

اهداف هکر برای حمله به سرور وب از این نقطعه ضعف:

  • دزدیدن اطلاعات حساب های بانکی و یا عضویتی
  • دزدیدن کوکی های حاوی اطلاعات نشست بین سرور و کاربر
  • ارجاع کاربران به سایتهای مخرب

روش هایی که کاربران مورد هدف قرار می گیرند:

  • باز نمودن يك صفحه وب مستعد به حملات نفوذی
  • كليك نمودن بر روي لينك های پر کاربرد وقابل اعتماد
  • باز نمودن ايميل با اسامی آشنا

 

روش اعمال نفوذ در یک نگاه:

  1. مرحله اول ، هکر کد مخرب خود را از طریق نقطه ضعف نفوذی XSS وب سایت ، درون وب سرور تزریق می کند.
  2. کاربر وب سایت را فراخوانی می کند.
  3. کد مخرب هکر ، کوکی را بر روی کامپیوتر کاربر ذخیره می کند.
  4. از این پس تمام اطلاعات به جای رسیدن به صفحه بانک در اختیار هکر قرار می گیرد.

 

روش جلوگیری از این نوع حملات :

1-استفاده از کتابخانه ها و مزایای  رمزنگاری امنیتی  تعبیه شده در Frame Work  های برنامه های وب ، به عنوان مثال:

 

 

2- استفاده از HTML policy engine   برای شناسایی کدههای مخرب ورودی از طرف کاربر:

3-امنیت کوکی ها

در برخی موارد می توان کوکی ها را به یک سری IP های خاصی که مخرب نیستند محدود کرد ،در این شرایط استفاده کاربران از وب سرور تحت کنترل دارنده  سرور در می آید.

4-محدود کردن استفاده از کدهای اسکریپتی مانند Java Script , Flash  ، وب اسکریپت   ActiveX   و غیره

5-استفاده از تکنولوژی های دفاعی مانند ابزار Java Script Sandbox  ، Content security policy  موزیلا و غیره

6-استفاده از مرورگرهای امن از سمت کاربر شبیه فایر فاکس ، کرم و غیره

7- پاک کردن کوکی ها در دورهایی از زمان



نظرات و پیشنهادات لطفا دیدگاه های خود را در ارتباط با مطلب فوق با ما در میان بگذارید.
ایمیل شما
 
موضوع
نظر / پیشنهاد
 
لطفاً کد موجود در تصویر راوارد کنید