سلام از فیلد جستجو یکی از سایت های من میشه حمله xss انجام داد چطوری رفع کنمش؟
نمایش نسخه قابل چاپ
سلام از فیلد جستجو یکی از سایت های من میشه حمله xss انجام داد چطوری رفع کنمش؟
در ارتباط با آسیب پذیری xss توضیح اینکه برای مثال در یکی از فیلد های وب سایت شما اطلاعاتی از کاربر دریافت شده و پس از آن اطلاعات و رشته عبارات دریافت شده از کاربر عینا" در قسمتی از وب سایت شما نمایش داده میشود .
برای مثال عبارت x در فیلد جستجو وب سایت شما وارد شده و برنامه وب سایت شما آن عبارت را جستجو میکند و به عنوان نتیجه عبارت زیر را باز می گرداند :
نتیجه جستجو شما در باره عبارت x به صورت زیر است :
...
...
...
حال اگر فرد نفوذگر در فیلد جستجو به جای عبارات و رشته کاراکتر های معمول ، دستورات جاوا اسکریپت را وارد کند و این دستورات جاوا اسکریپت عینا در صفحه ثبت و نمایش داده شود ، آسیب پذیری xss رخ داده است و از این آسیب پذیری امکان انجام سوء استفاده وجود خواهد داشت .
همانطور که میدانید java script سمت کاربر و بر روی کامپیوتر شخصی او اجرا میشود . بنا بر این و برای مثال میتوان با طراحی یک coockie grabber و قرار دادن آن در صفحه آسیب پذیر و ارائه آدرس لینک این صفحه به کاربران آن وب سایت (و یا حتی مدیر و admin آن سایت ) coockie و اطلاعات session ذخیره شده در مرورگر و کامپیوتر شخصی آن کاربر را به دست آورد و مادامی که session او منقضی نشده باشد ، میتوان بدون داشتن اصل پسورد و تنها با استفاده از coockie و اطلاعات session به جای آن کاربر و با سطح دسترسی او به وب سایت وارد شد و از این مرحله به بعد ادامه نفوذگری را با سطح دسترسی بیشتری ادامه داد.
با توجه به توضیحات فوق ، جهت جلوگیری از بروز این آسیب پذیری می بایست اطلاعات دریافت شده از فیلد های وب سایت و در رابطه با xss به خصوص فیلد هایی که اطلاعات وارد شده از آن عینا در صفحه نمایش داده میشوند را فیلــتر نمایید .
همچنین عبارات زیر در رابطه با xss می بایست در اطلاعات دریافت شده escape و فیلــتر شوند :
نقل قول:
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /