XSS လက်ဝါးကပ်တိုင် Site Scripting ကိုဆိုလိုတာပါ။ XSS ကို web application ကိုများအတွက်ဟက်ကာ technique ကိုဖြစ်ပါတယ်။ ဒါဟာအသုံးပြုသူတစ်ဦးထိခိုက်တိုက်ခိုက်မှုဖျော်ဖြေဖို့ခွင့်ပြုပါတယ်။ ဒါဟာအသုံးပြုသူကိုကြည့်ရှုသူများအဘို့အစာမကျြနှာပြောင်းလဲနိုင်စွမ်းအချို့သောဒေတာထောက်ပံ့ဖို့ခွင့်ပြုသော web စာမျက်နှာများမှအားပေးတော်မူပြီတဲ့အသုံးအနှုန်းဖြစ်ပါတယ်။ အဆိုပါကုဒ်ကြောင့် HTML ကိုစီးနေ client မှပြန်လာသောက output အတွက် input ကို parameter သည်ကိုအသုံးပြုသည်အစဉ်အမြဲတည်ရှိရာ XSS အားနည်းချက်ဖြစ်ပါတယ်။
သက်ရောက်မှု:
ကျနော်တို့စိုးရိမ်ပူပန်သင့်ပါတယ်ပထမဦးဆုံးအရာတစ်ခုဖြစ်သည်: – တိုက်ခိုက်သူတစ်ဦး XSS အသုံးပြု. ရရှိဖို့ကြိုးစားနေနိုင်ဘာလဲ?
အကောင့် / န်ဆောင်မှုများ 1. Theft: XSS ဖော်ပြခဲ့တဲ့သောအခါစိတ်ထဲမှကြွလာသောပထမဦးဆုံးအရာ cookie ကိုခိုးယူခြင်းနှင့်အကောင့်ပြန်ပေးဆွဲဖြစ်ပါတယ်။ တဦးတည်းအကောင့်ပြန်ပေးဆွဲများအတွက် cookie ကိုသုံးနိုင်သည်။ ကွတ်ကီး client ကိုဘက်မှာအတည်ပြုသတင်းအချက်အလက်အားလုံးကိုင်ထားရန်အသုံးပြုသည်နှင့်ဘာမျှမဆာဗာပေါ်မှာခြေရာခံသောအခါဤသည်ကိုတွေ့ရှိနိုင်ပါသည်။
2. အသုံးပြုသူခြေရာခံခြင်း / ငြိမ်: XSS အသုံးပြုခြင်းကြောင့်တစ်က်ဘ်ဆိုက်များကို web surfer လူဦးရေအပေါ်သတင်းအချက်အလက်ရရှိရန်ဖြစ်နိုင်ပါတယ်။
3. Browser ကို / အသုံးပြုသူခေါင်းပုံဖြတ်: XSS ခေါင်းပုံဖြတ်လည်းအသျှင်တပ်လှန့် script ကိုပေးပါသည်။ တစ်ဦးကရိုးရှင်းပြီးတပ်လှန့် box ကိုအသုံးပြုသူခေါင်းပုံဖြတ်၏အမျိုးအစားထဲသို့ကျကြောင်းတိုက်ခိုက်မှုအမျိုးအစားများ၏ဥပမာတစ်ခုဖြစ်ပါတယ်။
4. ယုံကြည်စိတ်ချရသောသတင်းမှား: တစ်ဘရောက်ဇာထဲမှာကွပ်မျက်တက်ကြွစွာ scripting နည်းလည်းမရှိပြီးတာနဲ့တဦးတည်းသူ / သူမစာမျက်နှာများအကြောင်းအရာနှင့်အလိုရှိကြသည်တွင်နိုင်ဘာမှလုပ်နိုင်ပါတယ်။ တစ်ဦးကြီးမားသောယုံကြည်စိတ်ချရသော site ကိုဖြစ်တယ်ဆိုရင်, ဒီအတော်လေးအန္တရာယ်များတဲ့အရာဖြစ်နိုင်ပါတယ်။ သတင်းမှားရုံအသေးစားလှည့်ကွက်များနှင့်အတွေးတစ်ဦးအမြန် jaunt ဖြစ်ပါတယ်။
5. အခမဲ့သတင်းအချက်အလက်များဖြန့်ဝေ: တစ်ခုမှာ URL ကိုသူ့ဟာသူ၌ပါဝင်သည်စေခြင်းငှါ, အချို့မက်ဆေ့ခ်ျကိုဘုတ်ပေါ်မှာသဘောပေါက် URL ကိုတင်လိုက်ခြင်းဖြင့် XSS အားနည်းချက် site ကိုအသုံးပြုခြင်းအားဖြင့်အလွန်သေးငယ်တဲ့သတင်းစကားတစ်ခုမလိုချင်တဲ့မေးလ် (junk mail ကို) ပို့နိုင်သည်။ တဖန်လူတစ်ဦးကိုလည်းသူ / သူမ၏ web hosting account ကိုဖော်ထုတ်အကြောင်းကိုအဘယ်သူမျှမစိုးရိမ်ပါတယ်။
6. အခြားသူများ: သူတို့တိုက်ခိုက်ကြောင့် exploit ဖို့နည်းလမ်းများစွာရှိပါတယ်။ သူတို့ဟာသေးငယ်တဲ့ဆိုဒ်များ bandwidth ကိုဖွင့်ဝါးရန် XSS အားနည်းချက်က်ဘ်ဆိုက်များကြီးမားသောအသုံးပြုသူအခြေစိုက်စခန်းကိုသုံးပါလိမ့်မယ်။
injection ပွိုင့်:
ကျွန်တော်စဉ်းစားသင့်တယ်အရေးကြီးသောကိစ္စရှိရာ web application ကိုသားကောင်ကရြောကျနိုငျသောကွောငျ့ဖွစျသညျ?
exploit ဖို့အလွယ်ကူဆုံးနည်းလမ်းစာမျက်နှာသို့တိုက်ရိုက်စာဖြင့်ရေးသားရရှိကြောင်းစုံစမ်းမှု string ကိုအငြင်းအခုံရှောက်သွား parameter သည်ဖြစ်ပါတယ်။ ဒါကတစ်ဦးတက်ကြွ XSS တိုက်ခိုက်မှုဖြစ်ပါတယ်။
ဒါပေမယ့်စိုးရိမ်ရေမှတ်တဦးတည်း passive XSS တိုက်ခိုက်မှုဖြစ်ပါတယ်။ တဦးတည်းထို့နောက်စာမျက်နှာကိုကြည့်ရှုဖို့သွားသူမည်သူမဆိုအလိုအလျှောက်သူ / သူမ၏ပညာအတတ်မရှိဘဲကြောင်း script ကို execute မယ်လို့သူ / သူမ၏ပို့စ်တက်ကြွ scripting နည်း post နိုင်လုပ်နိုင်လျှင်။
တိုက်ခိုက်မှု၏ဤအမျိုးအစားမှအားနည်းချက်သောသူအချို့ဆိုဒ်များဧည့်သည်များစာအုပ်, HTML ကိုချက်တင်အခန်းတစ်ခန်း, မက်ဆေ့ခ်ျကိုပျဉ်ပြား, ဆွေးနွေးမှုဖိုရမ်စသည်တို့ပါဝင်သည် ..
ဤတွင် XSS သုံးပြီးအားဖြင့် web application ကိုဝင်တိုက်ရန်အခြို့သောနည်းစနစ်များမှာ …
တဦးတည်းကဒီကဲ့သို့ကိုးကား string ကိုအတွက်ကိုးကားလွတ်မြောက်ရန်နိုင်ပါတယ် 'သို့မဟုတ် "သို့မဟုတ်ပင်ယူနီကုဒ် u0022 andu0027 equilivents ကိုသုံးနိုင်သည်အသိုက်ကိုးကား၏အရေးပါမှုကို သိ. 1. ။
ဇာတ်ညွှန်း mistrusted site ကိုမှလာလျှင် 2. SSL ကို (Secure Socket Layer) စာမကျြနှာသတိပေးပေမယ့်တဦးတည်းအမှန်တကယ်ဖိုင်ပညတ်တော်တို့ကို .JS ကြောင်းပုံသို့မဟုတ်ဆောင်းပါးကဲ့သို့ server ကိုမှဘာမှ upload နိုင်လျှင်, သူ script src = file ကိုဘာဖြစ်လို့လဲဆိုတော့ဒီသတိပေးကျော်လွှားနိုင်ပါတယ်။ JPG ။
3. တစ်ခုမှာ Internet Explorer ကိုအသုံးပြုပြီး java script ကိုအတူအကြောင်းအရာတစ်ခုလုံးကိုစာမျက်နှာများတွင်ဖတ်နိုင်လည်းစာမျက်နှာတည်းဖြတ်နိုင်သည်။
4. တစ်ခုမှာကြောင်းလယ်ပြင်များအတွက်တရားဝင်အချက်အလက်များနှင့်အချို့က HTML နဲ့ Java script ကိုပါဝင်သည်တဲ့ဒေတာကိုထည့်သွင်းနိုင်ပါတယ်။
ဆေးတစ်လက်:
ယခုငါတို့ဒီပြဿနာများ၏ကိုးကွယ်ရာကိုစဉ်းစားရပေမည်။ Active ကို XSS ကိုင်တွယ်ရန်အတော်လေးလွယ်ကူသည်။ ကျနော်တို့အသုံးပြုသူ input ကိုကနေလက်ခံရရှိအက္ခရာစီးရီးထွက် filter နိုင်ပါတယ်။
string ကိုကိုးကားပြီးအသုံးပြုသူ cant element ကို attribute ကိုရှောင်ကွင်းနိုင်ပါသေချာစေသည်နှင့်သူ / သူမ၏ကိုယ်ပိုင်ဖြစ်ရပ်ကိုင်တွယ်ည့
ကျနော်တို့ protocol ကိုစစ်ဆေးသင့်နှင့်မျှမတို့ကို http ရှိကြောင်းဘာမှငြင်းပယ်သင့်ပါတယ်: အတိအလင်း // ။ // လင့်များသို့မဟုတ်ပုံရိပ်တွေ, javascript, အပေါ် protocol ကို: // နှင့် VBScript: // ကျနော်တို့ဖိုင်ခွင့်မပြုသင့်ပါတယ်။
ကျနော်တို့ရှိကြောင်း URL ကိုငြင်းပယ်သင့်သလဲ တစ်ခုသို့မဟုတ် server ကို script ကိုရည်ညွှန်း။ ဤသည်အသုံးပြုသူများကိုကို web bug ကိုရန်စွမ်းရည် surfers ငြင်းပယ်လိမ့်မယ်။ ဒီတစ်ဦးကစိုးရိမ်ရေမှတ်အသုံးပြုသူများနှင့် site ပေါ်တွင် stats စုဆောင်းနှင့်၎င်းတို့၏ referrer တို့ရဲ့အားဖြင့်စာမကျြနှာကိုဖြတ်ပြီးအသုံးပြုသူများကိုခြေရာခံနိုင်ပါတယ်။
သို့သော် passive XSS ဆန့်ကျင်တားဆီးရေးလုံးဝကွဲပြားခြားနားသည်။ ငါတို့ရှိသမျှသည် HTML ကိုတစ်ဦးအလွန်ဒိုင်းနမစ်နှင့်အခမဲ့ဖြစ်သည်စီးဆင်းနေသောဘာသာစကားကြောင်းကိုငါသိ၏။ ဒါဟာက်ဘ်ဆိုက်ကအတိုင်းအဆင့်မြင့်နှင့်ရောင်စုံဖြစ်ခွင့်ပြုပါတယ်။ သို့သော်တစ်ခါတစ်ရံတွင်ကအိပ်မက်ဆိုးများအတွက်အကြောင်းပြချက်ဖြစ်လာ: ဤ filter ကိုဘယ်လို? ဒီတော့ကာကွယ်တားဆီးရေး၏အလွယ်ကူဆုံးနည်းလမ်းအသုံးပြုသူဟာသူတို့ရဲ့ဒေတာအတွက် HTML ကိုမဆိုပုံစံကိုအသုံးပြုရန်မတတျနိုငျကြောင်းဒါကြောင့်ကျနော်တို့ကခွင့်ပြုချက်မပေးသင့်ကြောင်းဖြစ်ပါသည်။
ဇာတျသိမျး:
ကျနော်တို့ XSS တိုက်ခိုက်မှုဘို့ငါတို့ဆာဗာကိုခွင့်ပြုလို့မရပါဘူး။ ကျွန်တော်တို့ရဲ့ clients များဟာသူတို့ရဲ့အကောင့်နှောင့်အယှက်ကြောင်း, သူတို့ရဲ့ခရက်ဒစ်ကဒ်အရေအတွက်အားဆုံးရှုံးခဲ့ရ … ဤပြဿနာကိုကိုင်တွယ်ဖြေရှင်းရန်အကောင်းဆုံးနည်းလမ်းကျွန်တော်တို့ရဲ့ဘရောက်ဇာထဲမှာ vB ဇာတ်ညွှန်းနှင့် JAVA script ကို disable လုပ်ဖို့သောအကြောင်းပြချက်မဖြစ်သင့် …
Comments are closed, but trackbacks and pingbacks are open.