Machine Translated by Google



Download 1,74 Mb.
Pdf ko'rish
bet8/12
Sana19.07.2022
Hajmi1,74 Mb.
#824986
1   ...   4   5   6   7   8   9   10   11   12
Bog'liq
WebSecurity kitobi yaxshi

Saytlararo skript

Brauzer zararli skriptlardan "yaxshi" skriptlarni taniy
olmaydi

Zaiflik serverda, lekin mijozlar qurbonlardir

Veb-sayt ham qurbondir
Machine Translated by Google


- Saqlangan XSS (oldingi misol)
- aks ettirilgan XSS
1) Saqlangan XSS, har doim skript server ma'lumotlar bazasida
doimiy saqlangan va oldingi misolda ko'rsatilganidek, ko'plab mijozlar
tomonidan boshqarilsa.
2) aks ettirilgan XSS, biroz murakkabroq, qachonki skript
saqlanmasa, lekin bitta mijozga yuboriladi.
XSS ning ikkita asosiy turi mavjud:
Saytlararo skript

Ikki turdagi XSS:
Machine Translated by Google


Saytlararo skript

Standart qiymat “1234567” GET parametridir

aks ettirilgan XSS misoli

Veb-sahifada standart qiymatga ega tahrirlash
maydoni ko‘rsatiladi:
CC:
1234567
https://www.creditcards.com?CC=1234567
Machine Translated by Google


– Serverda (www.creditcards.com):
– Buzg‘unchi foydalanuvchini (elektron pochta orqali yoki boshqa
nazorat qilinadigan sayt orqali) havolaga o‘tish uchun aldaydi:
- Olingan HTML quyidagicha bo'ladi:
_GET["CC"] .
"'>";

value=''>''>
echo
"'
Saytlararo skript
Aytaylik, tajovuzkor foydalanuvchini ma'lum bir URL manziliga rioya
qilishga undaydi. Bu oddiy elektron pochta orqali yoki hatto tajovuzkor
tomonidan boshqariladigan sayt orqali amalga oshirilishi mumkin. URLda
HTML Injection hujumi va ba'zi zararli kodlar mavjud. Sayt dinamik HTML-
sahifani yaratadi, unda hozirda
Yuqoridagi misol aks ettirilgan XSS qanday ishlashini ko'rsatadi.
E'tibor bering, natijada olingan HTMLning yakuniy "''>" belgilari
HTML sintaksisi tolerantligi uchun brauzer tomonidan e'tiborga olinmaydi.
zararli skript va uni skriptni boshqaradigan foydalanuvchiga yuboradi.
www.creditcards.com serveri kiritish maydoniga ega dinamik HTML
sahifasini yaratadi. Bunday kiritish maydonining mazmuni mijoz tomonidan
GET parametri bilan belgilanishi mumkin. Dinamik HTML kodining
konstruktsiyasida HTML Injection nuqsoni mavjudligini unutmang.

aks ettirilgan XSS:
Machine Translated by Google


Bu saqlangan XSS hujumining strategiya sxemasi.
Machine Translated by Google


Bu Reflected XSS hujumining strategiya sxemasi.
Machine Translated by Google


– Zararli kod joylashgan XSS turi
– Masalan, tajovuzkorga “ixtiyoriy xayriya”
Saytlararo so‘rovni qalbakilashtirish (CSRF) XSS ning
maxsus holati bo‘lib, unda zararli skript saytga kiruvchi
so‘rovni amalga oshiradi, masalan, tajovuzkorga “ixtiyoriy
xayriya”.

Download 1,74 Mb.

Do'stlaringiz bilan baham:
1   ...   4   5   6   7   8   9   10   11   12




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish