|  
صفحه اصلی > فهرست مقالات > حملات تزریق کد چیست؟
مقالات وب، شبکه
 

حملات تزریق کد چیست؟

XSS Attackerتزریق کد یا Cross Site Scripting یکی از روشهایی میباشد که برای نفوذ و گرفتن دسترسی غیر مجاز از یک تارنما (website) توسط یک هکر به کار میرود.
تاریخچه
تاريخچه حفره هاي امنيتي در معرض حملات XSS به سال ۱۹۹۶ و سالهاي اوليه تولد صفحات وب باز مي گردد. نفوذگران در آن زمان که پروتکل HTTP جا افتاده بود و طراحان تارنماها از زبانهای Scripting مانند جاوا اسکریپت (Java Script) سود میبردند، دريافتند وقتي کاربران معمولي وارد سايتی می شوند، مي توان به کمک کدنویسی در حفره های امنیتی تارنما، صفحه ديگري را در همان صفحه بارگذاری کرد سپس با سود بردن از جاوا اسکریپت داده های کاربر مانند نام کاربری، گذرواژه و یا کوکی (Cookie) ها را دزدید.
در اين هنگام رسانه ها اين مشکلات را به ضعف امنيتي مرورگرها نسبت داده بودند. شرکت ارتباطي Netscape که جزو اولين توليدکنندگان مرورگرهاي وب و همچنين سازنده زبان جاوا اسکریپت بود سياست دامنه شخصي را به اين زبان افزود که جلوي دسترسي به آدرس هاي خارج از دامنه تارنما را مي گرفت و تا حدودي اين حملات را محدود مي کرد.

انواع حملات
سناریو های مختلفی برای قرار دادن کد مخرب در سایتها به عنوان حمله وجود دارد :
  • طراح سایت، خود کد مخرب را در صفحه قرار داشته باشد.
  • حفره سایت ممکن است در سطح سیستم عامل یا شبکه ایجاد شده باشد.
  • یک حفره دائمی در یکی از مکان های عمومی تارنما قرار گرفته باشد.
  • قربانی بر روی یک لینک حاوی XSS مدل non-persistent یا DOM-based کلیک کند.
فیلتر کردن

فیلتر کردن را از دو منظر باید بررسی کرد. فیلتر کردن ورودی های کاربر و فیلتر کردن خروجی ها برای کاربر است.

  • فیلتر ورودی:
    • در این قسمت، برنامه نویس وظیفه دارد با فیلتر کردن ورودی های کاربر، شکل و چینش کدهای مخرب را شناسایی کرده و آنها را فیلتر کند.
  • فیلتر خروجی:
    • در این قسمت، برنامه نویس وظیفه دارد با فیلتر کردن کدهای خروجی اجازه ایجاد حفره های امنیتی و به طبع آن شکل گیری حملات CSS را متوقف کند.
روش های خنثی کردن
  • سود بردن از مرورگر مناسب.
  • سود بردن از ابزارهای محدود کننده اجرای کد مانند NoScript
  • کلیک نکردن بر روی لینک و آدرسهای ناشناس.
مقالات مرتبط:
کاربرد پراکسی در امنیت شبکه 1
کاربرد پراکسی در امنیت شبکه 2
مقدمه ای بر فایروال (Firewall)
Proxy Server - پراکسی سرور
روشهای کاربردی مقابله با هک شدن

منبع: http://fa.wikipedia.org
 
 
ارسال به دوستافزایش اندازه فونتکاهش اندازه فونت