Biztonság az Interneten 3. rész - Az XSS támadás
2013. február 15. Péntek
A nem helyesen programozott weblap a tulajdonosának számtalan veszélyt rejteget. Az XSS (Cross-Site scripting) az egyik legveszélyesebb és legelterjedtebb weblap elleni támadás, melyet egy laikus felhasználó nem is ismer. Így ha valaki olyan „programozóra” bízza weblapja szerkesztését, aki nem épít be védekezési mechanizmusokat, az lehet, hogy „olcsón megússza” a kezdeti költségeket, de a későbbiekben nagy problémái lehetnek. Az XSS lényege, hogy java script kódokat próbál a támadó futtatni szerverünkön tudtunk nélkül, így manipulálva oldalunkat. Három típusa van, ezekből a legveszélyesebb a perzisztens XSS. Ekkor az adatbázisban tárolódik le a manipulált oldal, melyet a szoftver ismételten meghív. Ekkor gyakorlatilag olyan programkódokat tud a rosszindulatú támadó elhelyezni a weblapon, mellyel manipulálhatja azt. Honnan tudom, hogy a programozóm védi az oldalamat az XSS ellen? A védekezés legfontosabb eszköze a beviteli mezőkbe bevitt adatok HTML tagok kiszűrése. A teszt nagyon egyszerű: a következő sort kell csak beírni minden egyes beviteli mezőbe. Ahol a script működésbe jön, a rendszer támadható! A kód tehát: <script>alert("JAJAJ, BAJ LEHET!:)");</script> A nem helyesen programozott weboldal tehát veszélyes, mind a rajta tárolt adatok, mind a weblapot üzemeltető számára. Ha Ön felismerte, hogy weblapja XSS ellen nem védett, akkor ideje elgondolkoznia: vajon jó ember programozta-e azt? J
|
|
Vissza |
Hozzászólás |
||
Jelenleg nem érkezett hozzászólás. Legyen Ön az első: |