رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
مقدمه ای بر حملات XSS
#1
یکی از خطرات و نقاط آسیب پذیر در برنامه های کاربردی وب است و می تواند تحت عنوان یک حمله از نوع تزریق طبقه بندی گردد چرا که در XSS یک اسکریپت مخرب به یک وب سرور تزریق می شود

به عبارت ساده، کراس سایت اسکریپتینگ حمله ای که در آن تزریق کد های مخرب به برنامه تحت وب و سرور ارسال می شود و مرورگر بدون هیچ گونه اعتبارسنجی آن رابرای سایر کاربران ارسال می کند روش معمول برای اجرا از طریق

guest book, contact form, search bar است

که اجازه می دهد تا کاربر برخی از اطلاعات مهم را وارد سیستم نماید

عمدتا در حال حاضر سه نوع XSS موجود می باشد:


Stored
Reflected
DOM based XSS


در حالت STORED کد های مخرب است به طور دائم بر روی سرور وب سایت و یا پایگاه داده از طریق نظرات و پیام انجمن ذخیره می شود.

در حالت REFLECTED کد یا اسکریپت های مخرب به روی سرور وب را در یک پنجره ی خطا، نتیجه جستجو و بسیاری از جاهای مختلف سایت ذخیره میگردد .

در حالت DOM کدها و اسکریپت مخرب در سمت خود کلاینت قرار گرفته و ویرایش می گردنند

آسیب پذیری XSS دارای ریسک بالا برای نفوذ و دسترسی غیر مجاز می باشد و در مواردی

همچون Session hijacking, cookies stealing, phishing ,website defacement مشاهده

می گردد

برای مواردی همچون Web Applications می توان از ابزارهایی مانند موارد زیر استفاده کرد

1-OWASP ZAP

2- DOMinator (پلاگین مورد استفاده در فایر فاکس)

3- XSSer (اسکریپت شناخته شدهای برای شناسایی و تست)

در بحث phishing می توان ابزارهای زیر را نیز در نظر داشت

1- XSS Shell

2- BeEF XSS Framework

منبع
[عکس: <a href=www.Mojsazan.com.gif]" class="mycode_img" />
پاسخ
سپاس شده توسط علیرضا حر ، علی عرفانی


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان