farbodsteps
October 20th, 2013, 22:06
سلام از فیلد جستجو یکی از سایت های من میشه حمله xss انجام داد چطوری رفع کنمش؟
توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل امنیتی فیلد جستجو رو چطور بر طرف کنم؟!
Online24
October 21st, 2013, 13:58
در ارتباط با آسیب پذیری xss توضیح اینکه برای مثال در یکی از فیلد های وب سایت شما اطلاعاتی از کاربر دریافت شده و پس از آن اطلاعات و رشته عبارات دریافت شده از کاربر عینا" در قسمتی از وب سایت شما نمایش داده میشود .
برای مثال عبارت x در فیلد جستجو وب سایت شما وارد شده و برنامه وب سایت شما آن عبارت را جستجو میکند و به عنوان نتیجه عبارت زیر را باز می گرداند :
نتیجه جستجو شما در باره عبارت x به صورت زیر است :
...
...
...
حال اگر فرد نفوذگر در فیلد جستجو به جای عبارات و رشته کاراکتر های معمول ، دستورات جاوا اسکریپت را وارد کند و این دستورات جاوا اسکریپت عینا در صفحه ثبت و نمایش داده شود ، آسیب پذیری xss رخ داده است و از این آسیب پذیری امکان انجام سوء استفاده وجود خواهد داشت .
همانطور که میدانید java script سمت کاربر و بر روی کامپیوتر شخصی او اجرا میشود . بنا بر این و برای مثال میتوان با طراحی یک coockie grabber و قرار دادن آن در صفحه آسیب پذیر و ارائه آدرس لینک این صفحه به کاربران آن وب سایت (و یا حتی مدیر و admin آن سایت ) coockie و اطلاعات session ذخیره شده در مرورگر و کامپیوتر شخصی آن کاربر را به دست آورد و مادامی که session او منقضی نشده باشد ، میتوان بدون داشتن اصل پسورد و تنها با استفاده از coockie و اطلاعات session به جای آن کاربر و با سطح دسترسی او به وب سایت وارد شد و از این مرحله به بعد ادامه نفوذگری را با سطح دسترسی بیشتری ادامه داد.
با توجه به توضیحات فوق ، جهت جلوگیری از بروز این آسیب پذیری می بایست اطلاعات دریافت شده از فیلد های وب سایت و در رابطه با xss به خصوص فیلد هایی که اطلاعات وارد شده از آن عینا در صفحه نمایش داده میشوند را فیلــتر نمایید .
همچنین عبارات زیر در رابطه با xss می بایست در اطلاعات دریافت شده escape و فیلــتر شوند :
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
برای مثال عبارت x در فیلد جستجو وب سایت شما وارد شده و برنامه وب سایت شما آن عبارت را جستجو میکند و به عنوان نتیجه عبارت زیر را باز می گرداند :
نتیجه جستجو شما در باره عبارت x به صورت زیر است :
...
...
...
حال اگر فرد نفوذگر در فیلد جستجو به جای عبارات و رشته کاراکتر های معمول ، دستورات جاوا اسکریپت را وارد کند و این دستورات جاوا اسکریپت عینا در صفحه ثبت و نمایش داده شود ، آسیب پذیری xss رخ داده است و از این آسیب پذیری امکان انجام سوء استفاده وجود خواهد داشت .
همانطور که میدانید java script سمت کاربر و بر روی کامپیوتر شخصی او اجرا میشود . بنا بر این و برای مثال میتوان با طراحی یک coockie grabber و قرار دادن آن در صفحه آسیب پذیر و ارائه آدرس لینک این صفحه به کاربران آن وب سایت (و یا حتی مدیر و admin آن سایت ) coockie و اطلاعات session ذخیره شده در مرورگر و کامپیوتر شخصی آن کاربر را به دست آورد و مادامی که session او منقضی نشده باشد ، میتوان بدون داشتن اصل پسورد و تنها با استفاده از coockie و اطلاعات session به جای آن کاربر و با سطح دسترسی او به وب سایت وارد شد و از این مرحله به بعد ادامه نفوذگری را با سطح دسترسی بیشتری ادامه داد.
با توجه به توضیحات فوق ، جهت جلوگیری از بروز این آسیب پذیری می بایست اطلاعات دریافت شده از فیلد های وب سایت و در رابطه با xss به خصوص فیلد هایی که اطلاعات وارد شده از آن عینا در صفحه نمایش داده میشوند را فیلــتر نمایید .
همچنین عبارات زیر در رابطه با xss می بایست در اطلاعات دریافت شده escape و فیلــتر شوند :
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.