برچسب: Cross-Site Scripting

۱۱ تیر ۱۳۹۶

جلوگیری از حملات XSS

در دو پست گذشته وبلاگ حمله XSS یا تزریق کد چیست؟ و مثال‌هایی از حملات XSS به بررسی حملات تزریق کد XSS و چندین نمونه از آنها پرداختیم. در این پست به بررسی راه‌های جلوگیری از حملات XSS می‌پردازیم.

بطور کلی، همانند کلیه‌ی حمله‌های هک و نفوذ، هیچگونه راه حل ۱۰۰ درصدی برای جلوگیری از حملات XSS وجود ندارد. اما میتوان با در نظر گرفتن موارد عموما ساده، جلوی عمده‌ی روش‌های مورد استفاده توسط هکر‌ها برای نفوذ را گرفت. هر دو حمله Stored XSS و Reflected XSS را می‌توان با اعتبارسنجی (Validation)‌ و گریختن (Escaping) مناسب در سمت سرور (Server-Side) دفع کرد. برای دفع حملات DOM Based XSS از روش های دیگری باید استفاده کرد که در آینده و در پستی جداگانه به آن‌ها خواهیم پرداخت. در ادامه این روش‌ها را باهم بررسی خواهیم کرد.

بیشتر

۱۸ بهمن ۱۳۹۵

حمله XSS یا تزریق کد چیست؟

حمله‌ی تزریق کد از طریق وبسایت یا Cross-Site Scripting که بصورت مخفف به آن حمله XSS (بدلیل شباهت مخفف به CSS از X که همان Cross یا ضربدر هست استفاده می‌شود) گفته میشود، یکی از پر استفاده‌ترین روش‌های در دسترس هکر‌ها می‌باشد. طبق تحقیقی که در سپتامبر ۲۰۱۵ انجام شد۱، براساس درصد، این نوع حمله پراستفاده ترین روش توسط هکر‌ها برای نفوذ به اپلیکیشن های تحت وب بوده است. (شکل زیر)

درصد حملات در اپلیکیشن‌های تحت وب
درصد حملات در اپلیکیشن‌های تحت وب [۱]
در سلسه پست‌هایی که خواهم نوشت، به بررسی حمله XSS، روش‌های مرسوم آن، نمونه‌های مختلفی از تزریق کد و در نهایت به روش‌های مقابله با آن خواهم پرداخت.

بیشتر