Uprkos brzom razvoju računarske tehnologije, mrežna sigurnost je i dalje kritično pitanje. Jedna od najčešćih su XSS ranjivosti koje omogućavaju napadaču da stekne potpunu kontrolu nad Internet resursom. Da biste bili sigurni da je vaša web lokacija sigurna, trebali biste je skenirati u potrazi za ovom ranjivošću.
Instrukcije
Korak 1
Suština XSS ranjivosti leži u mogućnosti izvršenja skripte treće strane na serveru koja omogućava hakeru da krade povjerljive podatke. Kolačići se obično kradu: zamjenjujući ih vlastitim, napadač može ući na stranicu s pravima osobe čije je podatke ukrao. Ako je ovo administrator, tada će i haker ući na web mjesto s administratorskim privilegijama.
Korak 2
XSS ranjivosti dijele se na pasivne i aktivne. Upotreba pasivne pretpostavlja da se skripta može izvršiti na web lokaciji, ali ne i sačuvati na njoj. Da bi iskoristio takvu ranjivost, haker vas mora pod jednim ili drugim izgovom prisiliti da kliknete na vezu koju je on poslao. Na primjer, vi ste administrator web lokacije, primate privatnu poruku i slijedite vezu navedenu u njoj. U ovom slučaju, kolačići idu na njuškalicu - program za presretanje podataka potrebnih hakeru.
Korak 3
Aktivni XSS su mnogo rjeđi, ali mnogo opasniji. U tom se slučaju zlonamjerna skripta sprema na stranicu web stranice - na primjer, u post foruma ili knjige gostiju. Ako ste registrirani na forumu i otvorite takvu stranicu, vaši se kolačići automatski šalju hakeru. Zbog toga je toliko važno biti u mogućnosti provjeriti vašu web lokaciju na prisustvo ovih ranjivosti.
Korak 4
Za traženje pasivnog XSS-a obično se koristi niz "> alert () koji se unosi u polja za unos teksta, najčešće u polje za pretraživanje web mjesta. Trik je u prvom navodniku: ako postoji greška u filtriranju znakova navodnik se smatra zatvaranjem upita za pretragu, a skripta nakon što se izvrši Ako postoji ranjivost, vidjet ćete skočni prozor na ekranu. Ranjivost ove vrste vrlo je česta.
Korak 5
Pronalaženje aktivnog XSS-a započinje provjerom koje su oznake dozvoljene na web mjestu. Za hakere su najvažniji img i url tagovi. Na primjer, pokušajte u poruku ubaciti vezu do slike poput ove:
Korak 6
Ako se križ ponovo pojavi, haker je na pola puta do uspjeha. Sada dodaje još jedan parametar nakon proširenja *.jpg:
Korak 7
Kako zaštititi web lokaciju od napada putem XSS ranjivosti? Pokušajte da bude što manje polja za unos podataka. Štoviše, čak i radio dugmad, polja za potvrdu itd. Mogu postati "polja". Postoje posebni hakerski programi koji prikazuju sva skrivena polja na stranici pregledača. Na primjer IE_XSS_Kit za Internet Explorer. Pronađite ovaj uslužni program, instalirajte ga - bit će dodan u kontekstni meni preglednika. Nakon toga provjerite da li u svim poljima vaše web lokacije postoje moguće ranjivosti.