Saytlararo so'rovni qalbakilashtirish

Jabrlanuvchi bir vaqtning o'zida Home-banking saytiga xavfsiz
ulanishga ega va boshqa saytga, masalan, bank mijozlari forumiga
tashrif buyuradi. Aytaylik, tajovuzkor zararli skriptni forumda saqlaydi
(Saqlangan XSS tomonidan) va qurbon uni yuklab oladi va ishga
tushiradi. Skript tajovuzkor tomonidan boshqariladigan bank hisobiga
katta pul xayriya qilish uchun ochiq sessiyadan foydalanadi.
Yuqoridagi rasmda (Saqlangan) CSRF misoli ko'rsatilgan.
Machine Translated by Google

- SQL Injectionga kelsak, kod nima va ishonchsiz
ma'lumotlar nima ekanligini aniq ajratib oling
– HTML kodiga kiritishdan oldin barcha ishonchsiz
satrlardan qoching
•
•
Ikkita asosiy sababga ko'ra mijoz tomonida samarali qarshi choralar
mavjud emas: 1) brauzerlar "yaxshi" skript va "yomon" skriptlarni
ajrata olmaydi; 2) biz dunyodagi barcha odamlarni xavfsizlik choralarini
ko'rishga majbur qila olmaymiz.
Server nuqtai nazaridan, biz mijozlarimizni XSS hujumidan himoya
qilishimiz kerak. Asosiy qarshi chora, SQL Injectionga kelsak, kod
nima ekanligini ishonchsiz ma'lumotlardan aniq ajratishdir. Ishlab
chiquvchilar HTML kodiga kiritishdan oldin barcha ishonchsiz
satrlardan qochishlari kerak. “Qochish” barcha maxsus HTML
belgilarini (&, <, >, ", ', /) qochish ketma-ketligidagi (mos ravishda
&, <, >, ", ', / ).
Shundan so'ng, string xavfsiz va muammosiz HTML kodini
shakllantirish uchun birlashtirilishi mumkin.
Saytlararo skript
•
>
& gt ;
• / bo'ladi
& # x2F;
•
<
& lt ;
"
bo'ladi
"
'
ga aylanadi
'
•
&
bo'ladi
&
•
Mijoz tarafida juda kam qarshi choralar
•
Qarshi choralar (server tomonida):
Machine Translated by Google

Download 1,74 Mb.

Do'stlaringiz bilan baham: