Выпускная квалификационная работа

Download 1,27 Mb.

bet	13/22
Sana	14.07.2022
Hajmi	1,27 Mb.
	#798355

1 ... 9 10 11 12 13 14 15 16 ... 22

Bog'liq
DiplomIshRus2 (1)

Reaлизация yansıtılan отраженных XSS zaifliklarini qidirish lizingi. ReflectedXssChecker

Reaлизация yansıtılan отраженных XSS zaifliklarini qidirish lizingi. ReflectedXssChecker

ReflecXssChecker klassi ReflecXssChecker занимается сканированием заданного URL на наличие отраженных aks ettirilgan (aks ettirilgan) XSS zaifliklari uchun berilgan URLni skanerlash bilan shug'ullanadi .

"Peshonada"yechim bor. Tekshirish uchun kelgan sahifani oching проверки, заполняем форму, которая вызывает сомнения с , xavfsizlik nuqtai nazaridan shubha tug'diradigan shaklni to'ldiring зрения , xss in'ektsiyasi, отправляем ushbu shaklni yuboring va следим за brauzer reaktsiyasini kuzating .
Ushbu yondashuv bir qator kamchiliklar va ortiqcha narsalarga ega. Чтобы Ishni велась eng maqbul было решено tarzda amalga подстановку oshirish uchun xss in'ektsiyalarini to'g'ridan в адресную -to'g'ri brauzerning manzil satriga almashtirish браузера, заменяя значения , xavfsizlik nuqtai nazaridan shubha tug'diradigan parametr qiymatlarini almashtirish to'g'risida qaror qabul qilindi. Bunday yechim позволяет примерно вдвое bu muammoni hal qilish uchun sarflangan trafikni taxminan ikki barobarga qisqartirish imkonini трафик, расходуемый на эту задачу, beradi va bu vazifani во bajarish vaqtini necha marta tezlashtiradi время выполнения .
В качестве скрипта, который является индикатором обнаружения Xss zaifligini aniqlash ko'rsatkichi bo'lgan skript sifatida skript уязвимости был tanlandi :
location.hash=10;
Ushbu skript #10 postfiksining joriy URL manziliga qo'shiladi. Ushbu skriptni tanlash brauzerda amalga oshiriladigan qulaylik va tezlik bilan bog'liq bo'lib, pop-up (alert() yoki confirm ()) ga sabab bo'lgan skriptlardan farqli o'laroq. Bundan тому tashqari, ushbu skriptda не содержит qo'shimcha maxsus belgilar mavjud emas, masalan , tirnoq, bu увеличивает шанс на срабатывание XSS in'ektsiyasini tetiklash imkoniyatini oshiradi .
Следует так же отметить поддержку Bundan tashqari, turli xil qidirish chuqurligini qo'llab-quvvatlashni ham ta'kidlash kerak глубины . Сам Inyeksiya ro'yxatining o'zi uchta matnli faylda saqlanadi. Ushbu fayllarni tahrirlash yoki ko'rish uchun hech qanday cheklovlar yo'q. Enjeksiyonlar veb-ilovalarda paydo bo'lishining mashhurligi bilan mos ravishda fayllar bo'yicha tartiblangan. Birinchi fayl хранит eng mashhur va oddiy XSS zaifliklarini saqlaydi va соответствует sirtni tekshirishga mos keladi. Xss-инъекции из Birinchi fayldan XSS in'ektsiyasi в сочетании с xss-инъекциями ikkinchi fayldan XSS in'ektsiyalari bilan birgalikda файла образуют o'rtacha глубину qidiruv chuqurligini hosil qiladi. Eng so'nggi fayl eng aniq va murakkab xss in'ektsiyalarini o'z ichiga oladi. Shunday qilib, barcha uchta faylning in'ektsiyalari birgalikda составляют достаточную chuqur qidirish uchun etarli bazani tashkil qiladi.

Download 1,27 Mb.

Do'stlaringiz bilan baham:

1 ... 9 10 11 12 13 14 15 16 ... 22