• 09121990309 - 01343449625
  • منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
Cross-Site Scripting (اسکریپت بین سایتی)
Cross-Site Scripting (اسکریپت بین سایتی)

اسکریپت بین سایتی (Cross-Site Scripting)در ژانویه 2019، یک آسیب پذیری XSS در سرویس Steam Chat که توسط Valve، یک شرکت بازی کامپیوتری با بیش از 90 میلیون کاربر فعال اداره می شود، کشف شد.
حملات Cross-Site Scripting (XSS) نوعی تزریق است که در آن اسکریپت های مخرب به وب سایت های خوش خیم و قابل اعتماد تزریق می شوند. این مفهومی مانند تزریق SQL است – که در آن کد مخرب به یک فرم برای دسترسی به پایگاه داده سایت وارد می شود – به جز اینکه در مورد XSS، کد مخرب طراحی شده است تا در مرورگر بازدید کننده دیگری از سایت اجرا شود، به مهاجم اجازه می دهد کوکی های کاربر را سرقت کند، شناسه های جلسه را بخواند، محتویات یک وب سایت را تغییر دهد یا کاربر را به یک سایت مخرب هدایت کند.

 

آنچه شما باید بدانید:
حملات XSS زمانی رخ می دهد که یک مهاجم از یک برنامه وب برای ارسال کد مخرب، به طور کلی در قالب یک اسکریپت جانبی مرورگر، به یک کاربر نهایی متفاوت استفاده می کند. نقص هایی که اجازه می دهد این حملات موفق شوند، گسترده هستند و در هر جایی که یک برنامه وب ورودی را از یک کاربر بدون اعتبار یا رمزگذاری آن تولید می کند، رخ می دهد. مرورگر کاربر نهایی هیچ راهی برای دانستن اینکه اسکریپت نباید مورد اعتماد باشد، به طور خودکار بر روی اسکریپت اجرا می شود. از آنجا که فکر می کند اسکریپت از یک منبع قابل اعتماد آمده است، می تواند به کوکی ها، نشانه های جلسه یا سایر اطلاعات حساس حفظ شده توسط مرورگر دسترسی داشته باشد. این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند.

 

چگونه حمله اتفاق می افتد:
دو نوع حملات XSS وجود دارد: ذخیره شده و منعکس شده. حملات XSS ذخیره شده زمانی رخ می دهد که یک اسکریپت تزریقی در سرور در یک مکان ثابت مانند یک انجمن یا نظر ذخیره می شود. هر کاربری که در صفحه آلوده فرود می آید، تحت تاثیر حمله XSS قرار می گیرد. در XSS منعکس شده، اسکریپت تزریق شده به عنوان پاسخ به یک درخواست، مانند یک صفحه نتایج جستجو، به کاربر خدمت می کند.

 

حمله از کجا می آید:
در حالی که حملات XSS به اندازه گذشته رایج نیستند – عمدتا به دلیل بهبود در مرورگرها و فن آوری های امنیتی – آنها هنوز هم به اندازه کافی شایع هستند تا در میان ده تهدید برتر ذکر شده توسط پروژه امنیتی برنامه وب باز قرار بگیرند و پایگاه داده آسیب پذیری ها و قرار گرفتن در معرض مشترک نزدیک به 14،000 آسیب پذیری مرتبط با حملات XSS را فهرست می کند.

:references

https://www.splunk.com