የኮምፒተር ቴክኖሎጂ ፈጣን እድገት ቢኖርም የኔትወርክ ደህንነት አሁንም ወሳኝ ጉዳይ ነው ፡፡ በጣም ከተለመዱት መካከል አንድ አጥቂ በበይነመረብ ሃብት ላይ ሙሉ ቁጥጥር እንዲያደርግ የሚያስችሉት የ XSS ተጋላጭነቶች ናቸው ፡፡ ጣቢያዎ ደህንነቱ የተጠበቀ መሆኑን ለማረጋገጥ ለዚህ ተጋላጭነት መቃኘት አለብዎት ፡፡
መመሪያዎች
ደረጃ 1
የኤክስኤስኤስ ተጋላጭነት ይዘት ጠላፊው ምስጢራዊ መረጃን ለመስረቅ የሚያስችለውን የሶስተኛ ወገን ስክሪፕት በአገልጋዩ ላይ የማስፈፀም ዕድል ላይ ነው ፡፡ ብዙውን ጊዜ ፣ ኩኪዎች ይሰረቃሉ-በራሳቸው ምትክ አንድ አጥቂ መረጃውን በሰረቀው ሰው መብቶች ይዞ ወደ ጣቢያው መግባት ይችላል። ይህ አስተዳዳሪ ከሆነ ጠላፊው እንዲሁ በአስተዳዳሪው መብቶች ወደ ጣቢያው ይገባል ፡፡
ደረጃ 2
የኤክስ.ኤስ.ኤስ ተጋላጭነቶች ወደ ተገብጋቢ እና ንቁ ይከፈላሉ ፡፡ ተገብሮ መጠቀም ስክሪፕቱ በጣቢያው ላይ ሊከናወን እንደሚችል ይገምታል ፣ ግን በላዩ ላይ አይቀመጥም ፡፡ እንደዚህ ዓይነቱን ተጋላጭነት ለመጠቀም ጠላፊ በአንድ ወይም በሌላ ሰበብ እሱ የላከውን አገናኝ ጠቅ እንዲያደርጉ ማስገደድ አለበት። ለምሳሌ እርስዎ የጣቢያ አስተዳዳሪ ነዎት ፣ የግል መልእክት ይቀበሉ እና በውስጡ የተገለጸውን አገናኝ ይከተሉ። በዚህ አጋጣሚ ኩኪዎቹ ወደ ጠላቂ ጠላፊ ይሄዳሉ - ጠላፊው የሚያስፈልገውን መረጃ ለመጥለፍ ፕሮግራም ፡፡
ደረጃ 3
ገባሪ ኤክስኤስኤስ በጣም ያነሱ ናቸው ፣ ግን በጣም አደገኛ ናቸው። በዚህ አጋጣሚ ተንኮል አዘል ስክሪፕቱ በድር ጣቢያ ገጽ ላይ ይቀመጣል - ለምሳሌ በመድረክ ወይም በእንግዳ መጽሐፍ ልጥፍ ውስጥ ፡፡ በመድረኩ ላይ ከተመዘገቡ እና እንደዚህ አይነት ገጽ ከከፈቱ ኩኪዎችዎ በራስ-ሰር ወደ ጠላፊው ይላካሉ ፡፡ ለዚያም ነው የእነዚህ ተጋላጭነቶች መኖር ጣቢያዎን መመርመር መቻል በጣም አስፈላጊ የሆነው ፡፡
ደረጃ 4
ተገብሮ ኤክስኤስኤስን ለመፈለግ “> ማስጠንቀቂያ () የሚለው ሕብረቁምፊ ብዙውን ጊዜ ጥቅም ላይ የሚውለው ወደ የጽሑፍ መግቢያ መስኮች ውስጥ ይገባል ፣ ብዙውን ጊዜ በጣቢያው የፍለጋ መስክ ውስጥ ነው ፡፡ ብልሃቱ በመጀመሪያው ጥቅስ ምልክት ውስጥ ነው ስህተቱ ካለ ገጸ-ባህሪያትን በማጣራት ፣ የመጥቀሱ ምልክት የፍለጋ ጥያቄን እና ከተከናወነ በኋላ ስክሪፕቱን እንደ መዝጋት ይታሰባል ፣ ተጋላጭነት ካለ በማያ ገጹ ላይ ብቅ-ባይ መስኮትን ያያሉ ፡፡ የዚህ ዓይነቱ ተጋላጭነት በጣም የተለመደ ነው
ደረጃ 5
ንቁ XSS ን መፈለግ የሚጀምረው በጣቢያው ላይ የትኞቹ መለያዎች እንደሚፈቀዱ በመፈተሽ ነው ፡፡ ለጠላፊ በጣም አስፈላጊው የ img እና url መለያዎች ናቸው። ለምሳሌ ፣ እንደዚህ ባለው መልእክት ውስጥ ወደ ስዕል አገናኝ ለማስገባት ይሞክሩ:
ደረጃ 6
መስቀሉ እንደገና ከታየ ጠላፊው ወደ ስኬት ግማሽ ነው ፡፡ አሁን ከ *.
ደረጃ 7
አንድ ጣቢያ በ XSS ተጋላጭነቶች አማካኝነት ከጥቃቶች ለመጠበቅ እንዴት? ለመረጃ ግቤት በተቻለ መጠን ጥቂት መስኮችን ለማቆየት ይሞክሩ። በተጨማሪም ፣ የሬዲዮ አዝራሮች ፣ አመልካች ሳጥኖች ፣ ወዘተ እንኳን “መስኮች” ሊሆኑ ይችላሉ ፡፡ በአሳሹ ገጽ ላይ ሁሉንም የተደበቁ መስኮችን የሚያሳዩ ልዩ የጠላፊ መገልገያዎች አሉ። ለምሳሌ IE_XSS_Kit ለኢንተርኔት ኤክስፕሎረር ፡፡ ይህንን መገልገያ ያግኙ ፣ ይጫኑት - በአሳሹ አውድ ምናሌ ውስጥ ይታከላል። ከዚያ በኋላ ሁሉንም የጣቢያዎን መስኮች ሊኖሩ ለሚችሉ ተጋላጭነቶች ያረጋግጡ ፡፡
