صفحه نخست عمومی
۱۵ شهريور ۱۳۸۸ - ۱۹:۰۹
Cross Site Scripting بخش دوم

چگونه از برنامه خود در برابر هکرها محافظت کنیم

در بخش نخست این مقاله به بررسی حملات SQL Injection و راهکار مقابله با آن پرداختیم. در این مقاله برآنیم تا برنامه‌نویسان را با یکی دیگر از رایج‌ترین تکنیک‌های مورد استفاده مهاجمان در ایجاد تداخل و سرقت اطلاعات کاربران آشنا کنیم.
کد خبر: ۲۷۸۹۰۶

Cross Site Scripting

برخی Cross Site Scripting (XSS یا CSS) به‌معنای «اسکریپت‌نویسی از سایت خارجی»  را با Cascading Style Sheets اشتباه می‌گیرند. که یکی از رایج‌ترین تکنیک‌های تخریب برنامه‌های تحت وب است و حدود 27درصد از تکنیک‌های مورد استفاده مهاجمان را به‌خود اختصاص می‌دهد.

یک صفحه وب متشکل از متون و نشان‌های HTML‌ است که توسط سرور تولید و به‌‌وسیله مرورگر ‌کاربر ترجمه و نمایش داده می‌شود. کنترل کامل نحوه ترجمه یک صفحه توسط مرورگر، ‌تنها برای وب سایت‌هایی ممکن است که دارای صفحات کاملا ایستا هستند. ولی وب سایت‌های تولیدکننده صفحات پویا، کنترل کاملی بر نحوه ترجمه خروجی خود نخواهند داشت و در صورت تزریق کدهای مخرب در این صفحات، نه کاربر و نه وب سایت، هیچ یک قادر به تشخیص خطر و انجام نکات حفاظتی نخواهند بود.

با استفاده از تکنیک XSS، مهاجم با وارد کردن کدهای مخرب جاوااسکریپت، وی‌بی‌اسکریپت، اکتیواکس، HTML  یا فلش خود در صفحه وب، اقدام به فریب کاربر و اجرای اسکریپت روی رایانه وی می‌کند که در نهایت منجر به تغییر یا سرقت کوکی کاربر، دستیابی به برخی اطلاعات خصوصی و ارسال برخی درخواست‌های ناخواسته از سوی کاربر می‌شود.

سه نوع مشخص XSS وجود دارد که در ادامه به بیان هر یک از آنها می‌پردازیم:

1- Non-persistent

رایج‌ترین نوع XSS است. وب‌سایت‌هایی که اقدام به استفاده اعتبارسنجی نشده مقادیر ورودی کاربر در نمایش خروجی می‌کنند، مستعد آسیب‌پذیری این نوع  حملات هستند.

در زیر به بیان مثال ساده‌ای از این حمله می‌پردازیم:

قسمت جستجوی یک صفحه وب را در نظر بگیرید که پس از دریافت عبارت مورد نظر از کاربر، به‌همراه عبارت جستجو شده، نتیجه را نمایش می‌دهد. (برای یافتن سایت‌های با قابلیت جستجو، می‌توانید عبارت "inurl:?search" را در گوگل جستجو کنید.)

در صورتی‌که عبارت "XSS Vulnerability" را جهت جستجو وارد کنید، URL به‌شکل زیر در خواهد آمد:

http://testasp.acunetix.com/

Search.asp?tfSearch=XSS%20Vulnerability

این بار عبارت زیر را وارد و دکمه جستجو را برگزینید:

«script type="text/javascript"»alert('Hello');«/script»

حال URL به‌شکل زیر در خواهد آمد:

http://testasp.acunetix.com/Search.asp?

tfSearch=%3Cscript+type%3D%22text

%2Fjavascript%22%3Ealert%28%27

Hello%27%29%3B%3C%2Fscript%3E

و به‌محض بارگذاری صفحه یک پیام "Hello" نمایش داده خواهد شد، درصورت مشاهده متن صفحه جاری اسکریپت فوق قابل مشاهده خواهد بود (اعداد و نشان‌های موجود درURL فوق، کد ‌اسکی معادل کاراکترهای فضای‌خالی، پرانتز و... است).

به‌عنوان یک مثال دیگر، اسکریپت زیر را به‌عنوان عبارت جستجو وارد کنید:

«script»document.body.innerHTML=

'«div»«h1»this site deface by XSS«/h1»

«/div»';«/script»

همان‌طور که مشاهده می‌کنید، در نتیجه این جستجو کلیه محتویات صفحه حذف و عبارت " this site deface by XSS" در صفحه درج خواهد شد.

2- Persistent

این نوع از XSS منجر به حمله‌های خطرناکی از جانب مهاجمان می‌شود. وب‌سایت‌هایی که ابتدا مقادیر ورودی کاربر را ذخیره می‌کنند و بی‌درنگ بدون اتخاذ کدینگ مناسب، مقادیر را به کاربر نمایش می‌دهند، مستعد این دسته از حملات هستند.
آنچه اهمیت این دسته از حملات XSS را زیاد می‌کند پردازش چند باره آنها به‌دلیل خواندن از منبع اطلاعاتی و تحت تاثیر قرار دادن طیف وسیع کاربران سایت است.
به‌عنوان یک مثال کلاسیک، می‌توان به Message Board‌هایی اشاره کرد که در آن کاربر می‌تواند پیام‌های خود را در قالب HTML برای سایت ارسال کند و دیگر کاربران نیز امکان مشاهده این پیام‌ها را دارند. پس اگر مهاجم دستور مخرب خود را در قالب یک پیام ارسال کند، این دستور در بانک اطلاعاتی سایت ذخیره شده و با ورود هر کاربر از بانک فراخوانی و نمایش داده می‌شود، بنابراین این دستور مخرب کلیه کاربران را تحت تاثیر قرار خواهد داد.

3- DOM-based

«مدل شیء سند» یا  DOM(Document Object Model) واسطی است که با استفاده از آن، برنامه‌ها امکان دسترسی و به‌روزرسانی محتوا، ساختار و استایل مستندات HTM را دارند. این خود شامل اشیایی چون Body، Location، URL، Referrer و ... است. به‌عنوان مثال، شیء Body شامل کد HTML صفحه است، بنابراین این اشیا مستقل از کدهای HTML صفحه هستند.

این دسته از حملات XSS ، صفحات وبی را که با بهره‌گیری از جاوااسکریپت، اقدام به استفاده از این اشیاء می‌کنند، هدف قرار می‌دهد.

راهکار مقابله با XSS

پرهیز از آنچه آشکارا موجب استفاده مهاجمان می‌شود و  فیلترینگ و حذف کاراکترهای خطرناک وارد شده توسط کاربر.

توجه به این نکته ضروری است که علاوه بر شکل معمول کاراکترها، نسبت به ارزیابی و فیلترینگ کد اسکی و هگزادسیمال معادل آن‌ها نیز اقدام کنید.

آنچه بیان شد، تنها اشاره کوچکی از حمله XSS بود. به‌یاد داشته باشید، درصورتیکه برنامه‌نویس به‌درستی اقدام به مقابله با این نوع حملات نکند، می‌تواند منجر به آسیب های جدی از جانب مهاجمان شود.

محمد غفاری

منابع

http://www.acunetix.com 

http://wikipedia.org

http://redworkdesign.info

newsQrCode
گزارش خطا
ارسال نظرات در انتظار بررسی: ۰ انتشار یافته: ۰
صادرات انرژی یا برای همه خواهد بود یا برای هیچ‌کس
دومین شکست ایران در لیگ ملت‌ها؛ بلغارستان شاگردان پیاتزا را از پیش رو برداشت
وزارت دفاع: خطای محاسباتی دشمن با پاسخی فراتر از تصور مواجه می‌شود
عارف: بنیه دفاعی و بازدارندگی ایران فراتر از هر مقطع دیگری قرار دارد
قالیباف: استراتژی‌های اشتباه منطقه را به بحران می‌کشاند؛ ایرانی متفاوت خواهید دید
پیروزی نهایی از آن حزب‌الله است | مقاومت لبنان شکست‌ناپذیر است
پیام تسلیت رهبر انقلاب اسلامی در پی ارتحال مرجع عالیقدر، آیت‌الله حاج شیخ اسحاق فیاض (طاب ثراه)
نهاد مدیریت آبراه خلیج فارس: تنگه هرمز تا اطلاع بعدی بسته است
حمید سبزواری؛ معجزه انتخاب درست در لحظه حساس
واشنگتن تصمیم نهایی را بگیرد
تصویب ۱۰۰ همت تسهیلات برای پرداخت مطالبات قطعه‌سازان
پیامد‌های خطرناک ناشی از آتش‌افروزی اخیر بر عهده آمریکاست
گفتگوی تلفنی عراقچی و مسئول سیاست خارجی اتحادیه اروپا
عیادت معاون صدا و پیشکسوتان از بهروز رضوی
فصل جدید مسابقه «تک به تک»
سردار شکارچی: قدرت ایران به مراتب از گذشته بیشتر است
کودک‌کش منفور
پیروزی بازدارنده
توانمند سازی خانواده علیه کار کودک
تنها راه مقابله پایدار با فساد، حکمرانی داده‌محور است
ببینید | سرود، پرچم، میدان؛ سه واژه برای یک شروع متفاوت در لیگ ملت‌های ۲۰۲۶
ادبیات کهن؛ شناسنامه فرهنگی ایرانیان
پخش زنده شبکه فراتر با کیفیت 4K از طریق پلتفرم سپهر
بازسازی زیرساخت‌ها با توان ایرانی
شهید سلامی تمام مراتب پاسداری را به‌درستی طی کرد
ایران در آستانه یک ترسالی بزرگ
بهترین روش خرید غیرحضوری از نمایشگاه کتاب
فروش خودرو بدون معطلی و تسویه یک روزه
جهش فروش نفت ایران پس از محاصره
ادامه تعطیلی بورس برای یک هفته دیگر
مبنای نرخ ارز خودروهای وارداتی مشخص شد
محک شیراز؛ امیدی ماندگار برای کودکان مبتلا به سرطان
بلیط هواپیما امیدیه را از بوکینگ بخرید؛ مقایسه و رزرو سریع تمام ایرلاین‌های داخلی
نوسان‌گیری با بیت کوین؛ فرصت طلایی یا ریسک بالا؟
اعتکاف؛ ۳ روز در آغوش خدا
بیمه‌بازار میکروفن را به مشتریان سپرد
تولید «حسینیه معلی» ویژه اعیاد شعبانیه
الزام به ثبت و تایید کدپستی هنگام صدور بیمه‌نامه چه چالش‌هایی را برای کاربران ایجاد کرده‌است؟
دسترسی آسان به خدمات بانکی
بحران آب در ایران و نقش شرکت‌های بومی در نجات منابع آبی کشور

نیکوکاری در دل جنگ

طرح ترافیک تهران در آستانه تغییرات جدید؛ از احتمال گسترش محدوده تا اجرای مدل پیمایش‌مبنا

جان‌فدا نقطه آغاز است

دستمزد ۳۵۰ میلیونی برای قتل پیرمرد

وحدت تمدنی یا «جهان اسلام»؟

قلبی تاریک، قلبی روشن

۱۰۰ روز پس از آغاز رویارویی در جنگ تحمیلی سوم؛ چرا بازسازی قدرت اطلاعاتی ایران یک ضرورت ملی است؟

رسانه در تنگنای محدودیت‌ها

از مواسات تا افکار عمومی

تجاوز خارجی و ضرورت وحدت انتقادی

موافقت رهبر انقلاب با عفو و تخفیف مجازات دو هزار نفر از محکومان

گوگل مرز‌های ترجمه را جابه‌جا کرد

عکس نوشت | هوش مصنوعی، ستاره پنهان جام جهانی‌ ۲۰۲۶

ببینید | رعایت قانون ایران، تنها رمز عبور ایمن از تنگه هرمز

«استبداد غربی»

کاهش ناترازی انرژی با توسعه تجدیدپذیرها

قتل دختر جوان در تسویه‌حساب سیزده به‌در

ببینید | شلیک اخطار موشکی - پهپادی نداجا به ناوشکن‌ های آمریکا

دستاوردهای جنگ تحمیلی سوم از زبان امام راحل‌!

دانشگاه؛ پیشران بازسازی و اقتدار ملی 

ابعاد «ایجاد خطا در دستگاه محاسباتی» در جنگ ترکیبی دشمن

«رسوایی خیخون»، ننگ ابدی آلمان و اتریش شد

نبرد اراده‌ها 

راز مردی که هور او را در آغوش گرفت

عادی‌سازی تهاجم‌؛ راهبرد جدید آمریکا 

مباهله؛ پیروزی حقیقت بدون شمشیر 

میکروپلاستیک‌ها در کمین مصرف‌کنندگان چای کیسه‌ای

تکامل فلسفه سیاسی در اندیشه امام راحل

چرخش نقدینگی به سمت بورس

جزئیات شکنجه جهنمی ۲ خواهر

چرخش نقدینگی به سمت بورس
آیا بخار ویپ واقعاً بی‌ضرر است؟
معجزه اینستاگرام و یک عمه مشهور
قتل مرد عابر به خاطر یک نگاه
دارو در حبس خانگی
هزار سال پس از فردوسی‌؛ بازسازی علمی متن شاهنامه
جام‌جهانــــی پولدار‌ها
سوارز چگونه اشک یک ملت را درآورد؟
کاهش عوارض جراحی با ۱۰۰۰ قدم راه رفتن
هوشی که تشنه‌تر شد
چابهار تنها اقلیم واقعی استوایی ایران
هر نخ سیگار، ۱۱ دقیقه از عمر انسان می‌کاهد
وزارت نیرو شایعه خاموشی‌ های برنامه‌ ریزی‌ شده را تکذیب کرد
خونسردی و دقت؛ دو کلید طلایی در تماس با ۱۲۵
متهم: تحقیر‌های پدرانه باعث جنایت شد 
سونوگرافی به جنگ بیماری‌های درمان‌ناپذیر می‌رود
فرجام قتل مادرزن
گرانی حریف کتابخوانی نشد
چت‌جی‌پی‌تی روزنامه‌نگار می‌شود!
اشتباه تایپی، نشانه‌ای جدید برای اثبات انسان بودن!
نیمی از سرطان‌ها را با کنار گذاشتن این دو عادت از خود دور کنید
المان مادر شهید در اهواز نصب شد
نفس بازغی به تلویزیون آمد
قلعه نویی دل شیر دارد / بازیکنان خودشان را باور داشته باشند صعود می‌کنیم
از عفونت تا ورم مغز؛ عوارض پنهان تزریق غیرضروری سرم
شام شوم برای شوهران
پول بی‌خانمان‌ها خرج جنگ شد
عکس روز ناسا از یک برخورد کهکشانی
ببینید | فرو ریختن یک ویترین دروغین، حال و روز این روزهای آمریکا
هشدار در مورد شگرد رمالان
ببینید | ناتوانی پاتریوت در رهگیری موشک‌های ایرانی

ببینید | ناتوانی پاتریوت در رهگیری موشک‌های ایرانی

نیازمندی ها

سئو در مشهد
نرم افزار CRM
webone.co
فروشگاه انتخاب من
هتل های تهران
کمک به خیریه
میکروبلیدینگ ابرو
قیمت ضایعات آهن
مفتول سیاه
کوچینگ سازمانی
قیمت هبلکس
جک سقفی
خرید میز اداری مدرن
قیمت میلگرد
میز کنفرانس