حمله xss چیست؟

بوسیله علیرضا پایدار | 1396/4/25 | مجموعه امنیت

0 نظر

blog1.jpg

حمله (Cross-site Scripting XSS)

مقدمه

XSS یکی از حملات امنیتی می باشد که در گروه حملات injection یا تزریقی قرار می گیرد. عملکرد در این حمله بدین گونه می باشد که کد مخرب بصورت کاملا خوش خیم وارد وب سایت های قابل اطمینان می شود. این حمله زمانی اتفاق می افتد که مهاجم بخواهد از طریق یک وب سایت کد مخربی را به مرور گر سیستم کاربر بفرستد. بصورت کلی XSS شکلی از کد سمت مرور گر و یا کلاینتی می باشد.

 در XSS رخنه های زیادی برای موفق آمیز کردن حمله وجود دارد. این رخنه ها در هر جایی از یک برنامه تحت وب که از ورودی ها جهت گرفتن اطلاعات از کاربر و از خروجی هایی بدون اعتبار سنجی و یا کد گذاری آن استفاده می کند، وجود دارند.

مهاجم با استفاده از حمله XSS می تواند یک کد مخرب را به مرور گر کاربر قربانی بفرستد. در این حمله کاربر نهایی به هیچ عنوان متوجه حضور کد مخرب در مرورگر خود نخواهد شد.

کد مخرب می تواند به اطلاعات کوکی ها، session ها، و یا تمام اطلاعات حساس دیگر که توسط مرور گر از سایت مربوطه ذخیره و نگه داری می شود، دسترسی داشته باشد. همچنین این کد های مخرب این قابلیت را دارند که بتوانند محتویات صفحه وب مربوطه را تغییر دهند! پس این خطر بوجود خواهد آمد که اطلاعاتی که کاربر در سایت قربانی می بیند ممکن است صحیح نباشد.