تازه ها: 
از وای فای رایگان بترسید!

از وای فای رایگان بترسید!

یکی از مهم ترین موضوعات در فضای مجازی حفظ حریم شخصی و حیاتی ترین اطلاعات است که با یک اشتباه رایج عموما شما را در معرض خطر قرار می دهد. ✓با اینکه همه ما می دانیم که یکی از کلیشه ای ترین روش های هک کردن وصل شدن به اینترنت های ناشناخته است ولی همچنان کاربران به محض یافتن یک وای فای رایگان به آن متصل می شوند. بیشتر

مراقب باشید در تلگرام هک نشوید!

مراقب باشید در تلگرام هک نشوید!

آیا تلگرام قابل هک شدن است؟ هک تلگرام چگونه انجام می‌پذیرد؟ چگونه از هک شدن تلگرام خود جلوگیری کنیم؟ هر آنچه که درباره هک تلگرام باید بدانید. تلگرام چقدر امن است؟ بیشتر

ردیابی و فرمت گوشی سرقتی از طریق جیمیل

ردیابی و فرمت گوشی سرقتی از طریق جیمیل

این ابزار با اکانت گوگل شما سینک می شود و شما قادر به حذف تمامی فایل های روی گوشی از راه دور ، قرار دادن و تغییر رمز گوشی و یافتن آن از طریق نقشه های گوگل می باشید. این ابزار دقیقا مانند یک ردیاب در صورت حرکت گوشی می توانید آن را به صورت زنده ردیابی کنید اگر احساس کردید به گوشی خود نزدیک شده اید بدون دسترسی و از راه دور قادر به صدا در آوردن آزیر مخصوص خواهید شد. بیشتر

ردیابی افراد از طریق شماره موبایل!!!

ردیابی افراد از طریق شماره موبایل!!!

هر آنچه که باید درباره ردیابی و بدست آوردن موقعیت از طریق شماره موبایل بدانید. با تکنولوژی‌های ردیابی آشنا شوید و در دام کلاه برداران نیفتید. در چند سال اخیر با توجه به افزایش چشمگیر استفاده از گوشی‌های هوشمند (اسمارت فون‌ها)، کلاه برداران زیادی هم بازار خود را پیدا کرده و با روش‌های گوناگون سعی می‌کنند کاربران را مورد هدف قرار داده اند بیشتر

افزایش سرعت گوشی اندرویدی

افزایش سرعت گوشی اندرویدی

شاید شما هم با مشکل کند شدن تلفن همراه اندرویدتان دست وپنجه نرم می کنید، اما دیگر نگران کندبودن گجت اندرویدی خود نباشید و با این روش بسیار ساده و کاربردی (بدون هیچگونه عوارض) سرعت گوشی خودتان را برای همیشه بالا ببرید: بیشتر

 

حمله xss چیست؟

تزریق کد (انگلیسی:XSS: Cross site scripting) از روش‌های نفوذ و گرفتن دسترسی غیر مجاز از یک وب‌گاه است که توسط یک هکر به کار می‌رود.

اگرچه مخففCSS ، Cross Site Scripting مي باشد اما از آنجا كه CSS به عنوان مخفف Cascading Style Sheets

(زبان کدنویسی css) نيز مي باشد، به منظور جلوگيري از بروز اشتباه،  XSS را به Cross Site Scriptingنسبت داده اند.

تاریخچه

تاریخچه حفره‌های امنیتی در معرض حملات XSS به سال ۱۹۹۶ و سالهای اولیه صفحات وب باز می‌گردد. نفوذگران در آن زمان که پروتکل HTTP جا افتاده بود و طراحان وب‌گاه‌ها از زبانهای پردازه‌نویسی مانند جاوا اسکریپت سود می‌بردند، دریافتند وقتی کاربران معمولی وارد سایتی می‌شود می‌توان به کمک کدنویسی در حفره‌های امنیتی وب‌گاه، صفحه دیگری را در همان صفحه بارگذاری کرد سپس با سود بردن از جاوا اسکریپت داده‌های کاربر مانند نام کاربری، گذرواژه و یا کوکی(Cookie)ها را دزدید.

در این هنگام رسانه‌ها این مشکلات را به ضعف امنیتی مرورگرها نسبت داده بودند. شرکت ارتباطی Netscape که جزو اولین تولیدکنندگان مرورگرهای وب و همچنین سازنده زبان جاوا اسکریپت بود سیاست دامنه شخصی را به این زبان افزود که جلوی دسترسی به آدرس‌های خارج از دامنه وب‌گاه را می‌گرفت و تا حدودی این حملات را محدود می‌کرد.

تعریف کلی

Scripting  يكي از روش هاي حمله هكرها به سايت ها است و يك نقص امنيتي محسوب ميشود. البته در اين حمله کدهای سمت کلاینت از قبیل جاوا اسکریپت به سایت تزریق میشوند و هدف اصلي هكرها كاربراني هستند كه به سايت مراجعه كرده اند. در حقيقت هكرها در اين نوع از حمله اطلاعات كاربران يك سايت را بدون اينكه خودشان آگاهي داشته باشند، به سرقت مي برند.
در XSS هكرها كدهاي خود را جايگزين كدهاي صفحات وب پويا مي كنند. اين حمله اغلب هنگامي صورت مي گيرد كه يك سايت جهت درخواست اطلاعات كاربر از Querystring استفاده مي نمايد. كدهائي كه جايگزين كدهاي صفحاتپويا مي شوند، بر روي كامپيوتر كاربر اجرا مي شوند. اين كدها مي توانند اطلاعات بااهميت موجود در كامپيوتر او را سرقت ببرند و به صورت مخرب بكار گيرند.

حتما بخوانید  نحوه جلوگیری از هک تلگرام

يكي از روش هاي دستيابي به اطلاعات كاربر بدست آوردن cookie اي است كه سايت ها پس از استفاده كاربر در سيستم او ايجاد و ذخيره مي نمايند، تا در ورودهاي بعدي ازاطلاعات ذخيره شده در آن استفاده نموده و به كاربر اجازه ورود دهند. با دستيابي به اين فايل در حقيقت هكر به اطلاعات كاربر دست پيدا نموده و مي تواند از آنها استفاده هاي سوئي نمايد.

زبانهاي متداول مورد استفاده درXSSعبارتند از:
JavaScript ، VBScript ، HTML ، Perl ، C++ ، ActiveX و Flash

 

انواع حملات XSS

انعکاس
در این نوع از حمله، هکر یک حفره امنیتی و راهی برای استفاده از آن پیدا می نماید تا کاربر ناشناس را به یک برنامه وب دارای آسیب پذیری XSS  هدایت کند. در این هنگام حمله انجام شده است.
این حمله به وسیله یک سری از پارامترهای URL که با URL ارسال می شوند، انجام می شود. هکر URL مخرب را با پارامترهای موجود در URL برای کاربر ارسال می کند. این URL معمولا ازطریق ایمیل، وبلاگ ها یا انجمن ها و یا هر روش ممکن دیگری برای کاربر فرستاده میشود. شاید تصور شود که کاربر بر روی لینک های ناشناس کلیک نمی کند، بنابراین مشکلی برای او پیش نمی آید. اما باید توجه نمود که با استفاده از JavaScript حتی با باز نمودن یک ایمیل و حتی مشاهده یک سایت، حمله XSS انجام می شود. به علاوه در این نوع حمله معمولا URL ها با متدهایی مثل Hex و یا هر متد کدگذاری دیگری که URL ها رابصورت معتبر نمایش می دهد، کدگذاری می شوند.

حتما بخوانید  تست نفوذپذیری چیست؟

ذخیره
در این نوع حمله، هکرکدهای مخربی را که یک کاربر در آینده آنها را فراخوانی می کند ذخیره مینماید.
در واقع یک کاربر ندانسته به کدهای مخرب برخورد می نماید و کدهای مخرب اجرا می شوند. مسئله اینجاست که هنگام ذخیره سازی کدها و همچنین هنگام واکشی آنها اعتبارسنجی ورودی ها و خروجی ها انجام نشده است.

نکته حائز اهمیت این است که حتی درصورت اعتبارسنجی کدها در هنگام ذخیره نمودن آنها، چک نمودن خروجی ها و اعتبارسنجی آنها نیز لازم است. چرا که به این ترتیب کدهای مخرب ناشناخته در طی فرایند اعتبار سنجی ورودی، کشف خواهند شد.

سناریوهای مختلفی برای قرار دادن کدمخرب درسایت ها به عنوان حمله وجود دارد:

  • طراح سایت، خود کد مخرب را در صفحه قرار داده باشد.
  • حفره سایت ممکن است درسطح سیستم ‌عامل یا شبکه ایجادشده باشد.
  • یک حفره دائمی در یک یاز مکان‌های عمومی وب‌گاه قرار گرفته باشد.
  • قربانی بر روی یک لینک حاوی XSS مدل non-persistent یا DOM-based کلیک کند.

 

يك هكر با بهره گيري از  XSSمي تواند به انجام اعمالي از قبيل موارد زير اقدام نمايد:

  • تغيير تنظيمات كاربر
  • ربودن حسابها
  • ربودن كوكي ها
  • اعمال كدهاي تخریب کننده
  • لینک به سايت هاي مخرب
  • راه اندازي تبليغات كاذب

راه هاي متداولي كه كاربران از طريق آنها مورد حمله قرار مي گيرند، عبارتند از:

  • باز نمودن يك صفحه وب
  • كليك نمودن بر روي لينك
  • باز نمودن ايميل

جلوگيري ازXSS
ساده ترين راه جلوگيري از XSS ، اضافه نمودن كدي به برنامه تحت وب است تا باعث شود از برخي تگ هاي فرمان در ورودي پويا چشم پوشي شود.
تگ هاي قابل استفاده درXSS عبارتنداز:

  • <script>
  • <object>
  • <applet>
  • <embed>
  • <form>
حتما بخوانید  روشهای انتقال ورودی/خروجی رایانه

به طور كلي جهت جلوگیری ازXSS باید استراتژی های مختلفی درنظر گرفته شود:

  • استفاده از مرورگرهاي وب امن:
    مرورگرهایی مثل Firefox و Opera از امنیت بالاتری (نه ۱۰۰درصد) نسبت به IE برخوردار هستند. اینترنت اکسپلورر از جمله مرورگرهایی است که نقاط ضعف زیادی دارد و بسیار در معرض خطر است.
  • بكارگيري ابزارهائي كه اجراي كدهای Script ، Flash و هر کد مخرب دیگری را محدودمي كنند. مثلNoScript
  • عدم كليك بر روي link ها و ايميل هاي ناشناس :
    سعی کنید آدرس وب سایت هاییکه قصد مشاهده آنها را دارید، مستقیما در نوار آدرس مرورگر وارد نمایید.
  • استفاده از توابعی که عملیات پاکسازی کدها را انجام می دهند. مثلhtmlentitiesدر زبانPHP(فیلتر نمودن ورودی های کاربر و همچنین کدهای خروجی).

 

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *