I a t r a X i m b o e V a g u L i

1 8 / 0 1 i a t
R a x i m b o e v a g u l i
"XSS" hujumi

XSS inglizcha "Cross-Site Scripting" tushunchasidan olingan bo'lib o'zbek tiliga tarjima qilinganda "Saytlar orasidagi 
scriptlash" manosini anglatadi. 
Aslida ishlash tartibi juda murakkab bo'lmagan ushbu hujum uslubi dunyo bo'yicha eng ko'p qo'llaniladigan hujum 
turlari orasida 7 - o'rinda turadi.
" X S S " n i m a ?
01 / 04

XSS bu maxsus kodlarning 
sayt foydalanuvchilari tarafiga 
joylashtirilishi va ishga 
tushurilishidir.. 
" X S S " q a n d a y
i s h l a y d i ?

Ikkinchi uslub sifatida nishondagi foydalanuvchiga malum bir script fayliga havola yuborish va kiyinchalik ushbu script ichidan turib 
istalgan amalni bajarishi mumkin. Bunday hujumlardan asosiy maqsad foydalanuvchilarning cockie saqlamalarini o'g'irlashdir.
Foydalanuvchilar tomonda maxsus kodlarni ishga 
tushurishning bir necha yo'llari mavjud. Maxsus 
kodni serverga yuborib sayt fayllariga ulab qo'yish 
yoki uslub ishlashi mumkin bo'lgan sayt formalari 
orqali. Masalan saytda izohlar qoldirish mumkin 
bo'lgan sahifada izoh sifatida qoldirish va qachonki 
ushbu sahifani yangi foydalanuvchilar yuklaganda 
ushbu kodni ishga tushadigan qilish mumkin. 
" X S S " q a n d a y
i s h l a y d i ?

aks ettirilgan(doimiy bo'lmagan)
zaiflik server tomon kodida emas, balki 
mijoz tomonidagi kodda bo'ladi.
zararli satr jabrlanuvchining iltimosiga binoan 
qaytariladi.
Sayt qidiruvga ega bo'lib, ular qidiruv natijalari bilan 
birgalikda "Siz qidirayotganingiz: [qidiruv satrini] kabi bir 
narsani ko'rsatadi",, ma'lumotlar esa to'g'ri filtrlanmaydi. 
Bunday sahifa faqat unga bog'lanish uchun ko'rsatiladi, 
hujumchi esa havolaning boshqa foydalanuvchilariga 
havolani yubormaydi, hujum ishlamaydi. Jabrlanuvchiga 
murojaat qilishning o'rniga, siz jabrlanuvchini tashrif 
buyuradigan neytral saytda zararli skrientni 
joylashtirishingiz mumkin.
zararli satr veb-sayt ma'lumotlar bazasidan kelib 
chiqadi
Hujum qiluvchi har safar ushbu sahifaning 
displeyini talab qiladigan serverda joylashgan 
serverda saqlanadigan serverda saqlanadigan 
maxsus xabarni taqdim etdi.
Hujumchi server ma'lumotlariga, masalan, SQL 
in'ektsiyasi orqali va foydalanuvchi deb nomlangan 
JavaScript kodi uchun ma'lumotga ega (ki-loggerlar 
yoki mol go'shti bilan) bo'lgan foydalanuvchiga 
kirish huquqiga ega bo'ldi. 
Saqlangan (doimiy)
dom modeli
X s s h u j u m t u r l a r i
03 / 04

3 . K i r i t i l g a n
m a ’ l u m o t l a r n i
v a l i d a t s i y a d a n
o ’ t k a z i s h
4. Foydalanuvchi sifatida hech 
qanday shubhali havolalarni bosib 
kira ko’rmang
1. Veb sahifada HTTP so’rov 
orqali kelayotgan hech qanday 
dinamik content Javascript ga 
“inject” qila olmasligi kerak 
2. Dasturchi sifatida, tizim qabul 
qilib olgan ma’lumotlarni 
foydalanuvchilarga ko’rsatishdan 
oldin ularni xavfsiz ekanligiga 
ishonch hosil qiling
.
X S S
h u j u m l a r d a n
h i m o y a l a n i s h