دانلود کتاب Cross Site Scripting Attacks: Xss Exploits and Defense
by Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager,
|
عنوان فارسی: سایت صلیب حملات برنامه نویسی : XSS سوء استفاده و دفاع |
دانلود کتاب
جزییات کتاب
تعاریف مختلفی برای حملات XSS وجود داره که، همگی در چند موضوع مهم باهم، همخوانی دارن.
XSS یا Cross-site scripting، نوعی از حملات سایبریه که دامنه ی رخداد اون،برنامه های تحت وب و به طور کلی صفحات پویای وب رو در بر میگیره. یعنی یه صفحه ی ایستای نوشته شده با HTML تنها، زمینه ی لازم برای چنین حملاتی رو نداره.
در XSS، طعمه خود کاربره و نه اون برنامه ی تحت وب
وب سرور و پایگاه داده ی اون، "ابزار" هکر هستن و نه "هدف" حمله ی اون.
سوال اینجاس که در عمل، سناریوی XSS چیست؟
یک هکر،یه وب پویایی رو پیدا کرده که، موتور جستجوگرش نسبت به ورودی هایی که می گیره، فیلتر و صافی مناسبی نداره؛ حالا کافیه که یه اسکریپت مخرب رو به عنوان ورودی در فیلد جستجو وارد کنه. در این صورت این اسکریپت در پایگاه داده ی سرور وبسایت ذخیره می شه.
این یعنی هر کس دیگه ای هم که از این فیلد برای جستجو استفاده کنه، اسکریپت مخرب در فضای مرورگرش اجرا میشه. مثلا این اکسپلویت می تونه برای ذخیره ی کوکی های کاربرها باشه یا مثلا این که اونا رو به سایت دیگه منتقل کنه.
یکی از شایع ترین و البته مخرب ترین حملات سایبری عصر حاضر همین Cross-site scripting هست. سناریوی بالا، تنها یه مثال ساده از این نوع حملات بود.