برچسب: DOM Based XSS

۱۲ تیر ۱۳۹۶

حمله تزریق اسکریپت، با یک بازی آنرا را یاد بگیریم!

در سه پست گذشته وبلاگ حمله XSS یا تزریق اسکریپت چیست؟، مثال‌هایی از حملات XSS و جلوگیری از حملات XSS به بررسی حمله تزریق اسکریپت یا XSS، چندین نمونه از آنها و راه‌های مقابله و جلوگیری از حملات تزریق اسکریپت پرداختیم.

حملات XSS، یا تزریق اسکریپت، یکی از روش های نفوذ پر استفاده توسط هکرها می‌باشد. در این نوع حمله، هکر تلاش میکند تا از طریقی، در صفحه‌ی وب اسکریپت خود را اجرا کند. هدف نهایی، اجرای این اسکریپت تزریق شده توسط تمام کاربرانیست که آن صفحه‌ی مورد نظر را مشاهده می‌کنند. البته گونه‌های دیگری از این حمله XSS وجود دارد که در پست‌های قبلی  معرفی کردم. اما اینجا میخواییم با استفاده از یک بازی جالب که گوگل آماده کرده، جای یک هکر بشینیم و به ۶ سایت متفاوت نفوذ کنیم و کد Javascript خودمون رو اجرا کنیم.

بیشتر

۱۱ تیر ۱۳۹۶

جلوگیری از حملات XSS

در دو پست گذشته وبلاگ حمله XSS یا تزریق کد چیست؟ و مثال‌هایی از حملات XSS به بررسی حملات تزریق کد XSS و چندین نمونه از آنها پرداختیم. در این پست به بررسی راه‌های جلوگیری از حملات XSS می‌پردازیم.

بطور کلی، همانند کلیه‌ی حمله‌های هک و نفوذ، هیچگونه راه حل ۱۰۰ درصدی برای جلوگیری از حملات XSS وجود ندارد. اما میتوان با در نظر گرفتن موارد عموما ساده، جلوی عمده‌ی روش‌های مورد استفاده توسط هکر‌ها برای نفوذ را گرفت. هر دو حمله Stored XSS و Reflected XSS را می‌توان با اعتبارسنجی (Validation)‌ و گریختن (Escaping) مناسب در سمت سرور (Server-Side) دفع کرد. برای دفع حملات DOM Based XSS از روش های دیگری باید استفاده کرد که در آینده و در پستی جداگانه به آن‌ها خواهیم پرداخت. در ادامه این روش‌ها را باهم بررسی خواهیم کرد.

بیشتر

۱۸ بهمن ۱۳۹۵

مثال‌هایی از حملات XSS

همانطور که در پست حمله XSS یا تزریق کد چیست؟ گفته شد، روش‌ها و اهداف حملات تزریق کد، هیچگونه محدودیتی ندارند. هر هکر با توجه به نبوغش، و همچنین تسلط بر حفره‌های امنیتی پایه، تلاش میکند روش‌های جدیدی برای انجام حمله ابداع کند. اما می‌توان روش‌های و اهداف پر‌استفاده را بررسی و با آنها مقابله کرد. با بررسی روش‌های متداول حملات XSS ، دید خوبی نسبت به حفره‌های موجود می‌تواند بدست آورد. با این دید می‌توان در هنگام تولید و توسعه اپلیکیشن‌های تحت وب، این حفره‌ها و آسیب پذیری‌ها را در اپلیکیشن بخوبی بشناسیم و با استفاده از راه‌حل های ساده و عموما پیش‌پا افتاده با آنها مقابله کنیم.

در ادامه به بررسی تعدادی از نمونه‌های حملات XSS می‌پردازیم و در نهایت در پستی دیگر راه‌های مقابله با آنها را بررسی خواهیم کرد.

بیشتر

۱۸ بهمن ۱۳۹۵

حمله XSS یا تزریق کد چیست؟

حمله‌ی تزریق کد از طریق وبسایت یا Cross-Site Scripting که بصورت مخفف به آن حمله XSS (بدلیل شباهت مخفف به CSS از X که همان Cross یا ضربدر هست استفاده می‌شود) گفته میشود، یکی از پر استفاده‌ترین روش‌های در دسترس هکر‌ها می‌باشد. طبق تحقیقی که در سپتامبر ۲۰۱۵ انجام شد۱، براساس درصد، این نوع حمله پراستفاده ترین روش توسط هکر‌ها برای نفوذ به اپلیکیشن های تحت وب بوده است. (شکل زیر)

درصد حملات در اپلیکیشن‌های تحت وب
درصد حملات در اپلیکیشن‌های تحت وب [۱]
در سلسه پست‌هایی که خواهم نوشت، به بررسی حمله XSS، روش‌های مرسوم آن، نمونه‌های مختلفی از تزریق کد و در نهایت به روش‌های مقابله با آن خواهم پرداخت.

بیشتر