Trots den snabba utvecklingen av datorteknik är nätverkssäkerhet fortfarande en kritisk fråga. En av de vanligaste är XSS-sårbarheter som gör det möjligt för en angripare att få fullständig kontroll över en Internetresurs. För att säkerställa att din webbplats är säker, bör du skanna den efter denna sårbarhet.
Instruktioner
Steg 1
Kärnan i XSS-sårbarheten ligger i möjligheten att köra ett tredjepartsskript på servern som gör det möjligt för en hackare att stjäla konfidentiella data. Vanligtvis stjäls cookies: genom att ersätta dem med sina egna kan en angripare komma in på webbplatsen med rättigheterna för den person vars data han stal. Om detta är en administratör kommer hackaren också in på webbplatsen med administratörsbehörighet.
Steg 2
XSS-sårbarheter är uppdelade i passiva och aktiva. Användningen av passiv förutsätter att manuset kan köras på webbplatsen, men inte sparas på det. För att utnyttja en sådan sårbarhet måste en hacker, under en eller annan påskyndning, tvinga dig att klicka på länken som skickas av honom. Till exempel är du webbplatsadministratör, får ett privat meddelande och följer länken som anges i det. I det här fallet går kakorna till en sniffer - ett program för att fånga upp data som hackaren behöver.
Steg 3
Aktiv XSS är mycket mindre vanligt men mycket farligare. I det här fallet sparas det skadliga skriptet på en webbplats - till exempel i ett forum eller inlägg i gästboken. Om du är registrerad på forumet och öppnar en sådan sida skickas dina cookies automatiskt till hackaren. Det är därför det är så viktigt att kunna kontrollera din webbplats för förekomst av dessa sårbarheter.
Steg 4
För att söka efter passiv XSS används vanligtvis strängen "> alert (), som matas in i textinmatningsfälten, oftast i sökfältet på webbplatsen. Tricket är i det första citattecknet: om det finns ett fel vid filtrering av tecken uppfattas citattecken som att stänga sökfrågan och skriptet efter att det har körts. Om det finns en sårbarhet, kommer du att se ett popup-fönster på skärmen.
Steg 5
Att hitta aktiv XSS börjar med att kontrollera vilka taggar som är tillåtna på webbplatsen. För en hackare är de viktigaste img- och url-taggarna. Försök till exempel att infoga en länk till en bild i meddelandet så här:
Steg 6
Om korset visas igen är hackaren halvvägs till framgång. Nu lägger den till ytterligare en parameter efter *.jpg-tillägget:
Steg 7
Hur skyddar jag en webbplats från attacker genom XSS-sårbarheter? Försök att hålla det så få fält för datainmatning som möjligt. Dessutom kan även alternativknappar, kryssrutor etc. bli "fält". Det finns speciella hackerverktyg som visar alla dolda fält på webbläsarens sida. Till exempel IE_XSS_Kit för Internet Explorer. Hitta det här verktyget, installera det - det läggs till i webbläsarens snabbmeny. Efter det, kontrollera alla fält på din webbplats för eventuella sårbarheter.
