اولین مرکز تخصصی غربالگری اتیسم شهر تهران در مرکز اختلال طیف اُتیسم فریحا www.AutismFariha.ir

XSS یا تزریق کد چيست؟

[caption id="attachment_387" align="aligncenter" width="276"]XSS یا تزریق کد XSS یا تزریق کد[/caption]

Scripting يكي از روش هاي حمله هكرها به سايت ها است و يك نقص امنيتي محسوب مي شود. البته در اين حمله کدهای سمت کلاینت از قبیل جاوا اسکریپت به سایت تزریق می شوند و هدف اصلي هكرها كاربراني هستند كه به سايت مراجعه كرده اند. در حقيقت هكرها در اين نوع از حمله اطلاعات كاربران يك سايت را بدون اينكه خودشان آگاهي داشته باشند، به سرقت مي برند.

اگرچه مخفف Cross Site Scripting، CSS مي باشد اما از آنجا كه CSS به عنوان مخفف Cascading Style Sheets نيز مي باشد، به منظور جلوگيري از بروز اشتباه، XSS را به Cross Site Scripting نسبت داده اند.

در XSS هكرها كدهاي خود را جايگزين كدهاي صفحات وب پويا مي كنند. اين حمله اغلب هنگامي صورت مي گيرد كه يك سايت جهت درخواست اطلاعات كاربر از Query string استفاده مي نمايد. كدهائي كه جايگزين كدهاي صفحات پويا مي شوند، بر روي كامپيوتر كاربر اجرا مي شوند. اين كدها مي توانند اطلاعات با اهميت موجود در كامپيوتر او را سرقت ببرند و به صورت مخرب بكار گيرند.

[caption id="attachment_388" align="aligncenter" width="200"]XSS یا تزریق کد XSS یا تزریق کد[/caption]

به عنوان مثال: ممكن است پس از ورود اطلاعات يك كاربر مثل username و password در سايت يكي از بانكها كه در برابر XSS محافظت نشده، اين اطلاعات توسط هكر دزديده شود ( البته بدون آگاهي كاربر ) و آنگاه حساب بانكي كاربر مورد دستبرد واقع شود.

با اینکه بسیاری از وب سایت ها، فیلترهایی برای شناسایی پست های حاوی XSS دارند اما نمی توان همه انواع مختلف XSS را فیلتر نمود. به این ترتیب می توان گفت سایت هایی که اقدام به دریافت اطلاعات از کاربران می کنند، مستعد حملات XSS هستند.

يكي از روش هاي دستيابي به اطلاعات كاربر بدست آوردن cookieاي است كه سايت ها پس از استفاده كاربر در سيستم او ايجاد و ذخيره مي نمايند، تا در ورودهاي بعدي از اطلاعات ذخيره شده در آن استفاده نموده و به كاربر اجازه ورود دهند. با دستيابي به اين فايل در حقيقت هكر به اطلاعات كاربر دست پيدا نموده و مي تواند از آنها استفاده هاي سوئي نمايد.

انواع حملات XSS: انعکاس در این نوع از حمله، هکر یک حفره امنیتی و راهی برای استفاده از آن پیدا می نماید تا کاربر ناشناس را به یک برنامه وب دارای آسیب پذیری XSS هدایت کند. در این هنگام حمله انجام شده است. این حمله به وسیله یک سری از پارامترهای URL که با URL ارسال می شوند، انجام می شود. هکر URL مخرب را با پارامترهای موجود در URL برای کاربر ارسال می کند. این URL معمولا از طریق ایمیل، وبلاگ ها یا انجمن ها و یا هر روش ممکن دیگری برای کاربر فرستاده می شود. شاید تصور شود که کاربر بر روی لینک های ناشناس کلیک نمی کند، بنابراین مشکلی برای او پیش نمی آید. اما باید توجه نمود که با استفاده از JavaScript حتی با بازنمودن یک ایمیل و حتی مشاهده یک سایت، حمله XSS انجام می شود. به علاوه در این نوع حمله معمولا URL ها با متدهایی مثل Hex و یا هر متد کدگذاری دیگری که URL ها را بصورت معتبر نمایش می دهد، کدگذاری می شوند. ذخیره در این نوع حمله، هکر کدهای مخربی را که یک کاربر در آینده آنها را فراخوانی می کند ذخیره می نماید. در واقع یک کاربر ندانسته به کدهای مخرب برخورد می نماید و کدهای مخرب اجرا می شوند. مسئله اینجاست که هنگام ذخیره سازی کدها و همچنین هنگام واکشی آنها اعتبارسنجی ورودی ها و خروجی ها انجام نشده است. نکته حائز اهمیت این است که حتی درصورت اعتبارسنجی کدها در هنگام ذخیره نمودن آنها، چک نمودن خروجی ها و اعتبار سنجی آنها نیز لازم است. چراکه به این ترتیب کدهای مخرب ناشناخته در طی فرایند اعتبار سنجی ورودی، کشف خواهند شد. يك هكر با بهره گيري از XSS مي تواند به انجام اعمالي از قبيل موارد زير اقدام نمايد: تغيير تنظيمات كاربر

  • ربودن حسابها
  • ربودن كوكي ها
  • اعمال كدهاي تخریب کننده
  • لینک به سايت هاي مخرب
  • راه اندازي تبليغات كاذب
  • راه هاي متداولي كه كاربران از طريق آنها مورد حمله قرار مي گيرند، عبارتند از:
  • باز نمودن يك صفحه وب
  • كليك نمودن بر روي لينك
  • باز نمودن ايميل

XSS یا تزریق کد

جلوگيري از XSS ساده ترين راه جلوگيري از XSS، اضافه نمودن كدي به برنامه تحت وب است تا باعث شود از برخي تگ هاي فرمان در ورودي پويا چشم پوشي شود. تگ هاي قابل استفاده در XSS عبارتند از:

  • <script>
  • <object>
  • <applet>
  • <embed>
  • <form>

به طور كلي جهت جلوگیری از XSS باید استراتژی های مختلفی درنظر گرفته شود: استفاده از مرورگرهاي وب امن: مرورگرهایی مثل Firefox و Opera از امنیت بالاتری (نه 100درصد) نسبت به IE برخوردار هستند. اینترنت اکسپلورر از جمله مرورگرهایی است که نقاط ضعف زیادی دارد و بسیار در معرض خطر است. بكارگيري ابزارهائي كه اجراي كدهای Script،Flash و هر کد مخرب دیگری را محدود مي كنند. مثل NoScript عدم كليك بر روي link ها و ايميل هاي ناشناس : سعی کنید آدرس وب سایت هایی که قصد مشاهده آنها را دارید، مستقیما در نوار آدرس مرورگر وارد نمایید. استفاده از توابعی که عملیات پاکسازی کدها را انجام می دهند. مثل htmlentities در زبان PHP (فیلتر نمودن ورودی های کاربر و همچنین کدهای خروجی) زبانهاي متداول مورد استفاده در XSS عبارتند از: JavaScript ، VBScript ، HTML ، Perl ، C++ ، ActiveX و Flash

1392/12/7       00000             XSS یا تزریق کد چيست؟       مطالب آموزشی , هک و نفوذ



 7Agahi.ir سامانه تبلیغاتی 7 آگهی
7Agahi.ir سامانه آگهی رایگان هفت آگهی


یادداشتها و چرکنویس های من parhost.net گروه فنی مهندسی پرهاست
یادداشتها و چرکنویس های من… یادداشتها ، مطالب ، نکات مهم و کاربردی … :: parhost.net گروه فنی مهندسی پرهاست


اولین مرکز تخصصی غربالگری اتیسم شهر تهران در مرکز اختلال طیف اُتیسم فریحا www.AutismFariha.ir

پایگاه اطلاع رسانی مدیریت و دسترسی به آدرسها و لینکهای اینترنتی , پایگاه اطلاع رسانی ابزارهای فناوری اطلاعات , پایگاه اطلاع رسانی 88080.ir , پایگاه اطلاع رسانی انجمن فناوری اطلاعات , پایگاه اطلاع رسانی اخترشناسان ایران , پایگاه اطلاع رسانی اطلس ها , پایگاه اطلاع رسانی بهترین گروه و انجمن , پایگاه اطلاع رسانی با فرهنگ
مرکز اختلال طیف اُتیسم فریحا , , وبلاگ پرهاست , , 7Agahi.ir سامانه آگهی رایگان هفت آگهی , , آموزش هنرهای دوزندگی و چهل تکه دوزی با شادی در شادی دوز با مدیریت مهین حیدرنیا ShadiDooz.ir , , گروه فنی مهندسی پرهاست , , وبلاگ گروه فنی مهندسی پرهاست
| درمان اوتیسم از نظر دکتر خیر اندیش | اوتیسم ژنتیکی است؟ | غربالگری اوتیسم بهزیستی | سامانه انلاین غربالگری اوتیسم | چگونه اوتیسم درمان میشود | اوتیسم پایان نامه | اوتیسم درمان دکتر هلاکویی | بهترین مرکز درمان اوتیسم | اوتیسم متوسط | بچه ی اوتیسم | اوتیسم ژنتیکی | اوتیسم پسر ترامپ | راه درمان قطعی اوتیسم | مراکز درمانی اوتیسم تهران | اوتیسم و نشانه های آن | اوتیسم فراتر از تئوری ذهن | autism 6 year old signs | autism 101 | autism diagnostic interview-revised | signs of autism 9 months old | مدرسه ی اوتیسم | درمان اوتیسم با حجامت | چرا بچه ها اوتیسم میگیرند | بیماران اوتیسمی چند سال عمر میکنند | اوتیسم تشخیص | autism بالانجلیزی | autism 3 year old symptoms | اوتیسم رسانه چیست | درمان شبه اوتیسم | درمان اوتیسم از نظر دکتر ضیایی | اوتیسم زنان | درمان اوتیسم ضعیف | درمان اوتیسم در جهان | اوتیسم جن | dsm 5 autism | اوتیسم پسر شقایق دهقان | درمان قطعی اوتیسم در طب سنتی | درمان رفتاری اوتیسم | کدام دانشمند اوتیسم داشت | طیف اوتیسم در کودکان | اوتیسم ب انگلیسی | ما هو autism | 4 autism spectrum disorders | بیماری اوتیسم در کودکان چیست | اوتیسم مقاله | از کجا بفهمیم نوزاد اوتیسم دارد | درمان غذایی اوتیسم | درمان پزشکی اوتیسم | اوتیسم خیلی خفیف | اوتیسم سلول بنیادی | اختلال اوتیسم چیست | autism signs in 8 month old | نشانه ی اوتیسم در نوزادان | اوتیسم طباطبایی | اوتیسم چیست | راه درمان اوتیسم | autism checklist for 8 year olds | dsm 5 autism spectrum disorder | دانلود فیلم autism in love | غربالگری اوتیسم چیست | سامانه غربالگری اوتیسم | ظاهر کودکان اوتیسم | اوتیسم نوزادان | autism 8 month old | درمان اوتیسم با عسل | اوتیسم لباس | درمان اوتیسم | غربالگری اوتیسم | مرکز درمان اوتیسم تهران | 3 autism | اوتیسم علائم | autism 2 år | داروی گیاهی درمان اوتیسم | autism 6 months old baby | اوتیسم محیطی چیست | چیست اوتیسم | اوتیسم معافیت سربازی | اوتیسم از چه سنی قابل تشخیص است | درمان اوتیسم بر اساس تحقیقات جدید | autismus | درمان اوتیسم تبریزیان | ژورنال اوتیسم | قصه اوتیسم | بیماری اوتیسم چیست در کودکان | اوتیسم شیراز | autism canada | autism 80 | چگونه اوتیسم بوجود می اید | autism 99 genes | از کجا بفهمیم کودک اوتیسم دارد | بیماری اوتیسم چیست و علایم آن | جدیدترین راههای درمان اوتیسم | autism 5k run | اوتیسم از چند سالگی شروع می شود | مریضی اوتیسم چیست | autism risk factors | مقاله درمان اوتیسم | autismo cid f84 0 | autism 9 year old symptoms | پرسشنامه غربالگری اوتیسم

@AutismFariha #مرکز_اتیسم_فریحا #فریحا #مرکزفریحا #اتیسم #اُتیسم #مرکزاتیسم_فریحا #اوتیسم #مرکز_فریحا #autism #otism #اتیسم_شدید #مشاور #وهم_گرایی #autism_Screening #جذب #rangtism #autisms #اوتیسم_بین_المللی #پرتیسم #طیف #golden_Time #اوتیسم_فریحا #اتاق_تاریک #منطقه_18 #اولین #غربال #مددکار #autismfariha.ir
Copyright © 2002-2020, urlha.ir. Design and Hosting by ParHost All Rights Reserved.
8553