حمله xss چیست؟

بوسیله علیرضا پایدار | 1396/4/25 | مجموعه امنیت

0 نظر

blog1.jpg

حمله (Cross-site Scripting XSS)

مقدمه

XSS یکی از حملات امنیتی می باشد که در گروه حملات injection یا تزریقی قرار می گیرد. عملکرد در این حمله بدین گونه می باشد که کد مخرب بصورت کاملا خوش خیم وارد وب سایت های قابل اطمینان می شود. این حمله زمانی اتفاق می افتد که مهاجم بخواهد از طریق یک وب سایت کد مخربی را به مرور گر سیستم کاربر بفرستد. بصورت کلی XSS شکلی از کد سمت مرور گر و یا کلاینتی می باشد.

 در XSS رخنه های زیادی برای موفق آمیز کردن حمله وجود دارد. این رخنه ها در هر جایی از یک برنامه تحت وب که از ورودی ها جهت گرفتن اطلاعات از کاربر و از خروجی هایی بدون اعتبار سنجی و یا کد گذاری آن استفاده می کند، وجود دارند.

مهاجم با استفاده از حمله XSS می تواند یک کد مخرب را به مرور گر کاربر قربانی بفرستد. در این حمله کاربر نهایی به هیچ عنوان متوجه حضور کد مخرب در مرورگر خود نخواهد شد.

کد مخرب می تواند به اطلاعات کوکی ها، session ها، و یا تمام اطلاعات حساس دیگر که توسط مرور گر از سایت مربوطه ذخیره و نگه داری می شود، دسترسی داشته باشد. همچنین این کد های مخرب این قابلیت را دارند که بتوانند محتویات صفحه وب مربوطه را تغییر دهند! پس این خطر بوجود خواهد آمد که اطلاعاتی که کاربر در سایت قربانی می بیند ممکن است صحیح نباشد.

اسکریپت نویسی چیست؟

بوسیله علیرضا پایدار | 1395/5/16 | مجموعه برنامه نویسی

0 نظر

blog1.jpg

به طور سنتی اسکریپت نویسی به زبان های نا کامل و محدود شده بر میگردد. اسکریپت نویسی معمولا مانند چسبی بین برنامه های مختلف کار می کند که با استفاده از آن میتوان به سادگی و سریعا قابلیتی به آن برنامه اضافه و یا حتی خراب کاری کرد. بعضی از این اسکریپت ها شامل جاوا اسکریپت، اکشن اسکریپت و شل اسکریپت نام دارند.

شاید نزدیک به 10 سال پیش به جاوا اسکریپت به عنوان یک زبان محدود شده که فقط می توانست برای برخی اعتبار سنجی ها و مثلا نمایش متن هایی بر روی مرور گر کاربر بکار آید، دیده می شد هر چند که امروز چنین نمی باشد. این سوتفاهم امروز همچنان برای توسعه دهندگانی که هنوز از جاوا اسکریپت استفاده نکرده اند یا تنها کارهای کوچکی مانند نمایش درآوردن متنی بر روی مرورگر کاربر با جاوا اسکریپت انجام داده اند پا برجاست.

جاوا اسکریپت (javascript) و اهمیت یادگیری آن

بوسیله علیرضا پایدار | 1395/5/6 | مجموعه نرم افزار

0 نظر

blog1.jpg

جاوا اسکریپت زبانی است که نخستین بار توسط شرکت Netscape برای توسعه قابلیت های صفحات وب ایجاد گردید و امروزه متداول ترین زبان اسکریپت نویسی در میان طراحان وب است و همه مرورگرهای مطرح وب از آن پشتیبانی می کنند.  آنچه باعث ایجاد و توسعه چنین زبانی در کنار HTML گردید این واقعیت بود که HTML صرفاً یک زبان طراحی برای تعیین عناصر درون صفحه وب و نحوه چینش آن ها به شمار  میرود و نمی تواند کارهایی مانند بررسی فرم ها، پاسخ به رویدادهای صفحه یا افزودن جلوه های تصویری به صفحه را برعهده بگیرد.

هنگامی که یک قطعه کد جاوا اسکریپت درون کدهای HTML گنجانیده می شود، مرورگر وب، این کدها را خط به خط تفسیر نموده و نتیجه را روی صفحه نمایش می دهد. گاهی اوقات هم اجرای کدهای جاوا اسکریپت مشروط به وقوع یک رویداد)  برای نمونه کلیک شدن یک دکمه ( است. در هر صورت، بر خلاف زبان های برنامه نویسی که در آن ها ابتدا کدها باید اشکال زدایی، کامپایل و سپس اجرا شوند، کدهای جاوا اسکریپت، خط به خط توسط مرورگر تفسیر شده و به اجرا در می آیند.

پس از عرضه جاوا اسکریپت، تلاش هایی به خصوص از سوی شرکت مایکروسافت برای تقیلد از آن صورت گرفت که نهایتاً منجر به ایجاد زبان اسکریپتی VBScript گردید اما هیچ گاه نتوانست محبوبیت و فراگیری جاوا اسکریپت را پیدا کند. در نتیجه این شرکت بزرگ نرم افزاری با ارایه زبان Jscript ، نسخه مایکروسافتی جاوا اسکریپت را تولید و روانه بازار نمود.

جاوا اسکریپت جزو زبان های سمت سرویس گیرنده 1 محسوب می شود یعنی بر روی رایانه کاربر به اجرا در می آید؛ برخلاف PHP ،ASP.NET یا JPS که در زمره زبان های سمت سرویس دهنده 2 طبقه بندی می شوند.

برای آشنایی بهتر با این مفهوم مهم در طراحی صفحات وب، مثال زیر را با دقت مطالعه نمایید.