XSS Tutorial
Oleh
chmood
Dalam tutorial ini saya akan menjelaskan dasar-dasar XSS lintas situs scripting dan Kerusakan Yang Dapat data dari serangan XSS.
Banyak orang memperlakukan XSS kerentanan sebagai Low kerentanan risiko menengah, Ketika pada kenyataannya itu adalah serangan yang merusak itu dapat menyebabkan pengguna Anda Menjadi dikompromikan. SQL Injection adalah kerentanan lebih mudah dipahami, karena melibatkan menyerang aplikasi web untuk mengambil data atau memodifikasi web apps database back-end.
Serangan XSS melibatkan mengorbankan pengguna peramban daripada aplikasi web yang sebenarnya; Perlu diingat Bahwa aplikasi web masih terlibat seperti yang di mana serangan itu akan berasal. Langsung dalam serangan khas; The Bad Guy Akan memanfaatkan aplikasi web untuk secara efektif meluncurkan serangan berbasis browser kembali pada pengguna akhir.
Penyerang -> eksploitasi aplikasi Web -> aplikasi web masalah script berbahaya ke browser user normal -> penyerang sekarang memiliki Kemampuan untuk mengontrol pengguna browser. Ini buruk bagi pengguna dan buruk bagi Anda Jika Anda mengelola aplikasi web.
Beberapa contoh kerusakan serangan XSS dapat Penyebab:
Mengarahkan Halaman ke situs phishing, atau halaman login palsu
Mencuri pengguna cookie, Halloween Mereka akses ke aplikasi web lainnya dengan sesi dikonfirmasi
Memasukkan link ke remote host eksploitasi sisi klien dalam tubuh html; dengan The Goal menginstal malware pada sistem (key logger, akses remote alat)
Ini adalah yang paling umum dan serangan berbahaya hasil, yang biasanya menyebabkan menyelesaikan kompromi dari sistem atau pengguna informasi pribadi.
Bagaimana XSS bekerja?
Serangan XSS yang sebenarnya dibentuk dengan menyuntikkan masukan unsanitised ke dalam aplikasi web. Biasanya input dalam bentuk JavaScript, yang dapat disimpan oleh aplikasi dan kembali ke pengguna lain Ketika Mereka mengunjungi halaman. Demikian mengeksekusi javascript di browser pengguna.
Ada berbagai jenis serangan XSS dan mengeksploitasi titik yang berbeda tapi ini adalah skenario yang khas dan mudah dimengerti.
Cara Mencegah XSS
The sanitizer input, semua input pengguna disampaikan di mana saja di aplikasi tersebut harus diperlakukan sebagai bermusuhan dan filter. Ini harus data dengan kode aplikasi, tapi-tapian juga dapat dilakukan dengan Web Application Firewall (dock) seperti mod_security. Cara paling efektif untuk ini adalah untuk melakukan presales Kedua, Gunakan aplikasi baik kode dan Memiliki dermaga atau penyaringan sebagai garis pertahanan kedua.
Selain itu ada Header HTTP yang dapat digunakan untuk memanfaatkan fitur di browser pengguna untuk serangan presales XSS. Ini adalah header HTTP X-XSS-Protection.
Perlu diingat Bahwa masukan berbahaya Bisa Jadi dieksekusi dari catatan hanya skrip tag tapian Juga tag body, tag gambar dan banyak lagi. Browser dapat Cukup pemaaf Bahkan Yews html yang dihasilkan rusak, mungkin masih membawa script.
Tutorial ini ditujukan untuk orang-orang WHO dasar Memahami kebutuhan situs lintas scripting. Untuk informasi lebih lanjut lihat sumber daya yang tersedia di situs web OWASP.
Banyak orang memperlakukan XSS kerentanan sebagai Low kerentanan risiko menengah, Ketika pada kenyataannya itu adalah serangan yang merusak itu dapat menyebabkan pengguna Anda Menjadi dikompromikan. SQL Injection adalah kerentanan lebih mudah dipahami, karena melibatkan menyerang aplikasi web untuk mengambil data atau memodifikasi web apps database back-end.
Serangan XSS melibatkan mengorbankan pengguna peramban daripada aplikasi web yang sebenarnya; Perlu diingat Bahwa aplikasi web masih terlibat seperti yang di mana serangan itu akan berasal. Langsung dalam serangan khas; The Bad Guy Akan memanfaatkan aplikasi web untuk secara efektif meluncurkan serangan berbasis browser kembali pada pengguna akhir.
Penyerang -> eksploitasi aplikasi Web -> aplikasi web masalah script berbahaya ke browser user normal -> penyerang sekarang memiliki Kemampuan untuk mengontrol pengguna browser. Ini buruk bagi pengguna dan buruk bagi Anda Jika Anda mengelola aplikasi web.
Beberapa contoh kerusakan serangan XSS dapat Penyebab:
Mengarahkan Halaman ke situs phishing, atau halaman login palsu
Mencuri pengguna cookie, Halloween Mereka akses ke aplikasi web lainnya dengan sesi dikonfirmasi
Memasukkan link ke remote host eksploitasi sisi klien dalam tubuh html; dengan The Goal menginstal malware pada sistem (key logger, akses remote alat)
Ini adalah yang paling umum dan serangan berbahaya hasil, yang biasanya menyebabkan menyelesaikan kompromi dari sistem atau pengguna informasi pribadi.
Bagaimana XSS bekerja?
Serangan XSS yang sebenarnya dibentuk dengan menyuntikkan masukan unsanitised ke dalam aplikasi web. Biasanya input dalam bentuk JavaScript, yang dapat disimpan oleh aplikasi dan kembali ke pengguna lain Ketika Mereka mengunjungi halaman. Demikian mengeksekusi javascript di browser pengguna.
Ada berbagai jenis serangan XSS dan mengeksploitasi titik yang berbeda tapi ini adalah skenario yang khas dan mudah dimengerti.
Cara Mencegah XSS
The sanitizer input, semua input pengguna disampaikan di mana saja di aplikasi tersebut harus diperlakukan sebagai bermusuhan dan filter. Ini harus data dengan kode aplikasi, tapi-tapian juga dapat dilakukan dengan Web Application Firewall (dock) seperti mod_security. Cara paling efektif untuk ini adalah untuk melakukan presales Kedua, Gunakan aplikasi baik kode dan Memiliki dermaga atau penyaringan sebagai garis pertahanan kedua.
Selain itu ada Header HTTP yang dapat digunakan untuk memanfaatkan fitur di browser pengguna untuk serangan presales XSS. Ini adalah header HTTP X-XSS-Protection.
Perlu diingat Bahwa masukan berbahaya Bisa Jadi dieksekusi dari catatan hanya skrip tag tapian Juga tag body, tag gambar dan banyak lagi. Browser dapat Cukup pemaaf Bahkan Yews html yang dihasilkan rusak, mungkin masih membawa script.
Tutorial ini ditujukan untuk orang-orang WHO dasar Memahami kebutuhan situs lintas scripting. Untuk informasi lebih lanjut lihat sumber daya yang tersedia di situs web OWASP.
Category
Komentar