برچسب: prevent xss

۱۲ تیر ۱۳۹۶

حمله تزریق اسکریپت، با یک بازی آنرا را یاد بگیریم!

در سه پست گذشته وبلاگ حمله XSS یا تزریق اسکریپت چیست؟، مثال‌هایی از حملات XSS و جلوگیری از حملات XSS به بررسی حمله تزریق اسکریپت یا XSS، چندین نمونه از آنها و راه‌های مقابله و جلوگیری از حملات تزریق اسکریپت پرداختیم.

حملات XSS، یا تزریق اسکریپت، یکی از روش های نفوذ پر استفاده توسط هکرها می‌باشد. در این نوع حمله، هکر تلاش میکند تا از طریقی، در صفحه‌ی وب اسکریپت خود را اجرا کند. هدف نهایی، اجرای این اسکریپت تزریق شده توسط تمام کاربرانیست که آن صفحه‌ی مورد نظر را مشاهده می‌کنند. البته گونه‌های دیگری از این حمله XSS وجود دارد که در پست‌های قبلی  معرفی کردم. اما اینجا میخواییم با استفاده از یک بازی جالب که گوگل آماده کرده، جای یک هکر بشینیم و به ۶ سایت متفاوت نفوذ کنیم و کد Javascript خودمون رو اجرا کنیم.

بیشتر

۱۱ تیر ۱۳۹۶

جلوگیری از حملات XSS

در دو پست گذشته وبلاگ حمله XSS یا تزریق کد چیست؟ و مثال‌هایی از حملات XSS به بررسی حملات تزریق کد XSS و چندین نمونه از آنها پرداختیم. در این پست به بررسی راه‌های جلوگیری از حملات XSS می‌پردازیم.

بطور کلی، همانند کلیه‌ی حمله‌های هک و نفوذ، هیچگونه راه حل ۱۰۰ درصدی برای جلوگیری از حملات XSS وجود ندارد. اما میتوان با در نظر گرفتن موارد عموما ساده، جلوی عمده‌ی روش‌های مورد استفاده توسط هکر‌ها برای نفوذ را گرفت. هر دو حمله Stored XSS و Reflected XSS را می‌توان با اعتبارسنجی (Validation)‌ و گریختن (Escaping) مناسب در سمت سرور (Server-Side) دفع کرد. برای دفع حملات DOM Based XSS از روش های دیگری باید استفاده کرد که در آینده و در پستی جداگانه به آن‌ها خواهیم پرداخت. در ادامه این روش‌ها را باهم بررسی خواهیم کرد.

بیشتر