09 اسف

آشنایی با حملات Xss یا Cross Site Scripting

Cross Site Scripting یکی از روش های حمله و نفوذ هکرها به وب سایت ها میباشد. در این روش کدهای جاوا اسکریپت به سایت تزریق میشوند و هدف هکر بیشتر کاربرانی هستند که به سایت مراجعه کرده اند. در واقع هکرها در این نوع حمله اطلاعات کاربران یک سایت را بدون اینکه خودشان متوجه شوند، به سرقت میبرند..!

اگرچه مخفف CSS ، Cross Site Scripting میباشد اما با توجه به اینکه CSS به عنوان مخفف Cascading Style Sheets به کار برده میشود، به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.

روش حمله :

در این حمله با باز کردن یک صفحه وبسایت، کلیک روی یک لینک و یا باز کردن یک ایمیل، کدی به صورت مخفی روی کامپیوتر کاربر اجرا میشود که میتواند اطلاعات مهمی را از سیستم کاربر سرقت کند. هکرها با استفاده از این حمله کوکی ها را سرقت میکنند و از طریق آنها به اطلاعات کاربران دسترسی پیدا میکنند.

هنگامی که کاربر وارد یک حساب اینترنتی مانند ایمیل، حساب بانکی یا حساب های دیگر میشود اطلاعاتی (کوکی ها) روی کامپیوتر کاربر ذخیره میشود..

به طور مثال امکان دارد پس از ورود اطلاعات یک کاربر مانند نام کاربری و رمز عبور در سایت یکی از بانک ها یا موسساتی که در برابر XSS محافظت نشده اند، این اطلاعات توسط هکر، بدون اینکه کاربر آگاهی یابد، سرقت شود و سپس حساب بانکی کاربر مورد دستبرد واقع شود. این روش در مورد بقیه حساب های کاربری اینترنتی هم امکان پذیر است.

آشنایی با مفهوم Cross Site Scripting

انواع حملات :

  • طراح سایت خودش کد مخرب را در صفحه قرار داده باشد.

  • حفره امنیتی ممکن است در سطح سیستم عامل یا شبکه ایجاد شده باشد.

  • یک حفره امنیتی همیشگی در قسمت های عمومی سایت قرار گرفته باشد.

  • کاربر بر روی یک لینک حاوی XSS کلیک کند.

  • کاربر ایمیل حاوی XSS را باز کند.

روش های مقابله با XSS:

  • استفاده از مرورگر اینترنتی مناسب : مرورگرهایی مانند Firefox و Opera امنیت بالاتری نسبت به IE دارند. IE مرورگری است که نقاط ضعف زیادی دارد.

  • استفاده از ابزارهایی که کدهای Script و Flash را محدود میکنند مانند Noscript

  • کلیک نکردن روی لینک ها و ایمیل های ناشناس : برای جلوگیری از این نوع حمله میتوان ایمیل را روی حالت Html یا متنی قرار داد تا کدهای مخرب خود به خود اجرا نشوند.

  • توصیه میشود کاربران گزینه یادآوری نام کاربری و رمز عبور را در مرورگرهای خود غیر فعال کنند و به صورت دوره ای رمز عبور ایمیل های خود را تغییر دهند.

  • همچنین بهتر است کاربران از یک ایمیل مجزا برای حساب های کاربری مهم خود مانند حساب بانکی و … استفاده کنند و از آن برای ارتباطات روزانه استفاده نکنند.

اشتراک

کلیه حقوق متعلق به شرکت سبزاندیش آراد میباشد.

logo-samandehi