اسکریپت Cross Site

اگر چه کمتر از گذشته در اسکریپت های متقابل سایت هنوز رایج ترین آسیب پذیری وب منتشر شده و تهدیدی برای خوانندگان است. حملات اسکریپتی Cross-site برای سرقت اطلاعات از مرورگر شما هنگام بازدید از وب سایت هایی مانند فروشگاه های تجارت الکترونیک، انجمن ها و حتی حساب های ایمیل شما استفاده می شود.

ماهیت سرزده اسکریپت های متقابل سایت یا XSS از این واقعیت است که چگونه حمله رخ می دهد. وبسایت که بازدید می کنید، توسط هکرها برای حمله به بازدیدکنندگان استفاده می شود.

کد مخرب که اطلاعات شما را خراب می کند، در قالب لینک های ساده، فرم های آنلاین که شما پر می کنید، و یا فقط بازدید از سایت های آلوده ارائه شده است.

XSS به دلیل روش های مختلف موجود برای ارائه حمله مخرب به کاربران، به چشم غیر مسلح مشکوک نیست. انواع تحویل معمول XSS عبارتند از:

JavaScript

VBScript

ActiveX

Flash

Even HTML!

هر کدام از این نوع کدهای نرم افزاری برای ساخت وب سایت ها ضروری است و توابع متعددی را برای اطمینان از عملکرد مناسب فراهم می کنند. مهاجمان برای وب سایت ها و برنامه های آسیب پذیر جستجو می کنند تا کاربران را فریب دهند تا اطلاعات محرمانه ای را از آنها جمع آوری کنند.

با استفاده از تقلب XSS، همه چیز از ربودن حساب، سرقت هویت، تغییر تنظیمات کاربر، هدایت مرورگر به مکان دیگر، یا نمایش محتوای جعلی که توسط سایت بازدید شده ارائه شده است، امکان پذیر است.

اهداف مورد علاقه مهاجم شامل پست های پست های پیام، پیام های فوری و نرم افزار چت وب است. گاهی اوقات کاربر ناامید کننده نیاز به ارتباط با هر سایت یا پیوند اضافی ندارد فقط به سادگی مشاهده صفحه وب حاوی کد مخرب می تواند بار حمل و نقل را تحویل دهد.

بعضی از راه های محافظت از خود از Cross-Site Scripting حملات تنها دنبال لینک از وب سایت اصلی که مایل به بازدید است. اجتناب از کلیک کردن روی پیوندهای غیر ضروری و لینک ها حتی اگر آنها بی گناه باشند.

به عنوان مثال، اگر شما یک لینک پیدا کنید که می گوید آن را به وب سایت شما دوباره هدایت می کند، به جای کلیک کردن بر روی آن لینک، آدرس URL CNN را در مرورگر تایپ کنید و به وب سایت خود بسپارید. علاوه بر این، حتما پلاگین های خود را مانند فلش پلیر و جاوا به روز نگه دارید.

XSS می تواند به صورت خودکار هنگام باز کردن یک ایمیل یا پیوست ایمیل، یا هنگامی که شما یک دفترچه مهمان یا پست الکترونیکی هیئت مدیره را بخوانید، اجرا می شود.

اگر برنامه ای برای باز کردن یک ایمیل یا خواندن پست در یک هیئت عمومی از کسی که نمی دانید، مراقب باشید. یکی از بهترین راه های محافظت از خود این است که جاوا اسکریپت را در تنظیمات مرورگر خود خاموش کنید. در اینترنت اکسپلورر، تنظیمات امنیتی خود را به بالا بالا ببرید.

سخت است برای جلوگیری از سوراخ XSS؛ آنها حتی وب سایت های معتبر را نیز تحمل کرده اند. برخی از وب سایت هایی که آلوده شده اند عبارتند از:

FBI.gov

CNN.com

Time.com

eBay.com

Yahoo

Apple

Microsoft

MySpace

Wired.com

 

 

 

امکان ارسال دیدگاه وجود ندارد!