कंप्यूटर प्रौद्योगिकी के तेजी से विकास के बावजूद, नेटवर्क सुरक्षा अभी भी एक महत्वपूर्ण मुद्दा है। सबसे आम में से एक XSS भेद्यताएं हैं जो एक हमलावर को इंटरनेट संसाधन पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती हैं। यह सुनिश्चित करने के लिए कि आपकी साइट सुरक्षित है, आपको इस भेद्यता के लिए इसे स्कैन करना चाहिए।
निर्देश
चरण 1
XSS भेद्यता का सार सर्वर पर एक तृतीय-पक्ष स्क्रिप्ट निष्पादित करने की संभावना में निहित है जो एक हैकर को गोपनीय डेटा चोरी करने की अनुमति देता है। आमतौर पर, कुकीज़ चोरी हो जाती हैं: उन्हें अपने लिए प्रतिस्थापित करके, एक हमलावर उस व्यक्ति के अधिकारों के साथ साइट में प्रवेश कर सकता है जिसका डेटा उसने चुराया था। यदि यह एक व्यवस्थापक है, तो हैकर भी व्यवस्थापक विशेषाधिकारों के साथ साइट में प्रवेश करेगा।
चरण 2
XSS कमजोरियों को निष्क्रिय और सक्रिय में विभाजित किया गया है। पैसिव का उपयोग यह मानता है कि स्क्रिप्ट को साइट पर निष्पादित किया जा सकता है, लेकिन उस पर सहेजा नहीं जा सकता है। इस तरह की भेद्यता का फायदा उठाने के लिए, एक हैकर को किसी न किसी बहाने आपको उसके द्वारा भेजे गए लिंक पर क्लिक करने के लिए मजबूर करना चाहिए। उदाहरण के लिए, आप एक साइट व्यवस्थापक हैं, एक निजी संदेश प्राप्त करें और उसमें निर्दिष्ट लिंक का अनुसरण करें। इस मामले में, कुकीज़ एक खोजकर्ता के पास जाती है - हैकर को आवश्यक डेटा को इंटरसेप्ट करने के लिए एक प्रोग्राम।
चरण 3
सक्रिय XSS बहुत कम आम हैं, लेकिन बहुत अधिक खतरनाक हैं। इस मामले में, दुर्भावनापूर्ण स्क्रिप्ट किसी वेबसाइट पृष्ठ पर सहेजी जाती है - उदाहरण के लिए, किसी फ़ोरम या गेस्टबुक पोस्ट में। यदि आप फोरम पर पंजीकृत हैं और ऐसा पेज खोलते हैं, तो आपकी कुकीज़ स्वचालित रूप से हैकर को भेज दी जाती हैं। यही कारण है कि इन कमजोरियों की उपस्थिति के लिए अपनी साइट की जांच करने में सक्षम होना बहुत महत्वपूर्ण है।
चरण 4
निष्क्रिय XSS की खोज करने के लिए, स्ट्रिंग "> अलर्ट () का आमतौर पर उपयोग किया जाता है, जिसे टेक्स्ट प्रविष्टि फ़ील्ड में दर्ज किया जाता है, जो अक्सर साइट के खोज क्षेत्र में होता है। चाल पहले उद्धरण चिह्न में होती है: यदि कोई त्रुटि है वर्णों को छानने में, उद्धरण चिह्न को खोज क्वेरी को बंद करने के रूप में माना जाता है, और इसके निष्पादित होने के बाद की स्क्रिप्ट यदि कोई भेद्यता है, तो आपको स्क्रीन पर एक पॉप-अप विंडो दिखाई देगी। इस प्रकार की भेद्यता बहुत आम है।
चरण 5
सक्रिय XSS की खोज यह जाँचने से शुरू होती है कि साइट पर कौन से टैग की अनुमति है। एक हैकर के लिए, सबसे महत्वपूर्ण हैं img और url टैग। उदाहरण के लिए, संदेश में किसी चित्र का लिंक इस प्रकार डालने का प्रयास करें:
चरण 6
यदि क्रॉस फिर से प्रकट होता है, तो हैकर सफलता के आधे रास्ते पर है। अब यह *.
चरण 7
XSS भेद्यता के माध्यम से किसी साइट को हमलों से कैसे बचाएं? डेटा प्रविष्टि के लिए इसे यथासंभव कम फ़ील्ड रखने का प्रयास करें। इसके अलावा, यहां तक कि रेडियो बटन, चेकबॉक्स आदि भी "फ़ील्ड" बन सकते हैं। विशेष हैकर उपयोगिताएँ हैं जो ब्राउज़र पृष्ठ पर सभी छिपे हुए क्षेत्रों को प्रदर्शित करती हैं। उदाहरण के लिए इंटरनेट एक्सप्लोरर के लिए IE_XSS_Kit। इस उपयोगिता को ढूंढें, इसे स्थापित करें - इसे ब्राउज़र संदर्भ मेनू में जोड़ा जाएगा। उसके बाद, संभावित कमजोरियों के लिए अपनी साइट के सभी क्षेत्रों की जाँच करें।