Talaan ng mga Nilalaman:
Kahulugan - Ano ang ibig sabihin ng XSS Hole?
Ang isang XSS hole ay isang application ng Web na nagbibigay ng mga dynamic na nilalaman sa mga gumagamit na may kahinaan sa seguridad sa computer. Ang application na ito ay script ng cross-site (XSS), at pinapayagan nito ang isang umaatake upang samantalahin ang kumpidensyal na data ng isang gumagamit nang hindi ipinapasa ang isang mekanismo ng control control tulad ng patakaran ng parehong-pinagmulan. Ang depekto na ito ay mas naaangkop na kilala bilang isang hole ng XSS.
Ipinapaliwanag ng Techopedia ang XSS Hole
Halimbawa, maaaring makita ng gumagamit ang isang link sa isang application sa Web na tumuturo sa ilang nakakahamak na nilalaman. Maaaring i-click ng gumagamit ang link at maakay sa isa pang pahina na naglalaman ng ilan o bulletin ng email. Ang pahina na ito ay nagtitipon ng impormasyon ng gumagamit sa anyo ng isang password. Nagbubuo din ito ng isang malisyosong pahina ng output na nagpapahiwatig ng ilang mga pekeng tugon na iniayon upang lumitaw bilang tunay sa gumagamit. Alinman ang data na ipinasok ng gumagamit ay maaaring maling gamitin o ang session ng gumagamit ay maaaring mai-hijack sa pamamagitan ng pagnanakaw ng cookie. Batay sa pagiging sensitibo ng mga datos na nakolekta, ang script ng cross-site ay maaaring saklaw mula sa isang kahinaan lamang sa isang malubhang loophole ng seguridad. Matapos mapagsamantala ang kahinaan ng XSS, ang pag-atake ay maaaring iwasan ang mga patakaran sa control control ng organisasyon.
Ang konsepto ng script ng cross-site ay batay sa parehong orihinal na patakaran. Parehong mga orihinal na patakaran na nagsasabi na ang isang browser ng Web gamit ang JavaScript ay maaaring ma-access ang iba't ibang mga pag-aari at pamamaraan na kabilang sa parehong site nang walang anumang mga paghihigpit. Ang mga nakakahamak na pag-atake ay maaaring samantalahin ang konsepto ng parehong orihinal na patakaran sa pamamagitan ng pag-iniksyon ng malisyosong code sa isang website gamit ang JavaScript. Kung titingnan ang mga pahina ng Web ng mga gumagamit, maaaring tipunin ng mga umaatake ang ilang mga kapaki-pakinabang na impormasyon ng gumagamit tulad ng isang username o password.
Tulad ng bawat istatistika na natipon ni Symantec noong 2007, ang mga cross-site na script ng script para sa 80 porsyento ng lahat ng mga pag-atake ng seguridad na isinasagawa gamit ang mga computer. Mayroong tatlong uri ng script ng cross-site:
- Non-Persistent XSS: Ang di-paulit-ulit na uri ng script ng cross-site ay makikita sa panahon ng mga kahilingan ng HTTP kung saan ang kliyente ay naglalagay ng data sa isang kahilingan sa HTTP. Kapag ang server ay gumagamit ng data na ipinadala ng kliyente upang makabuo ng mga pahina, ang mga butas ng XSS ay maaaring maging aktibo kung ang kahilingan ay hindi na-sanitized nang maayos. Ang mga pahina ng HTML ay binubuo ng parehong nilalaman at pagtatanghal. Kung nagdaragdag ang malisyosong gumagamit ng ilang nilalaman na hindi napatunayan, mangyari ang pag-iikot sa markup. Kakompromiso ng gumagamit ang kanyang seguridad sa pamamagitan ng pagpasok ng impormasyong hiniling ng malisyosong code. Maaaring iligaw ng attacker ang gumagamit sa ibang URL, na maaaring maglaman ng isang mas sopistikadong virus at makakuha ng mahalagang impormasyon ng gumagamit.
- Patuloy na XSS: Ang nakakahamak na nilalaman na na-injected ng attacker ay nai-save sa gilid ng server at lahat ng mga kahilingan ng kliyente ay naka-access sa binagong nilalaman, at sa gayon ay nagreresulta ng isang malubhang panganib sa seguridad. Halimbawa, pinapayagan ng ilang mga forum ang gumagamit na mag-post ng mga naka-format na mensahe ng HTML. Samakatuwid, ang isang umaatake ay maaaring mag-embed ng isang code ng JavaScript upang ipakita ang isang nakakahamak na kahon ng teksto upang mangalap ng impormasyon tulad ng isang password. Ang pag-atake ay maaari ring i-configure ang code ng JavaScript upang mai-save at maipadala ang bawat password na naipasok sa patlang ng teksto.
- DOM Batay XSS: Ang modelo ng dokumento ng dokumento (DOM) ay isang istraktura ng puno na kumakatawan sa lahat ng mga tag na lilitaw sa isang dokumento na tumutugma sa mga pamantayan sa XML. Ginagamit ang JavaScript sa JavaScript upang ma-access at manipulahin ang mga tag ng HTML at ang nilalaman sa loob ng mga tag. Ang isang magsasalakay ay maaaring mag-iniksyon ng isang nakakahamak na piraso ng code ng JavaScript na naglalaman ng naaangkop na mga pahayag ng DOM upang ma-access at baguhin ang mahalagang impormasyon ng gumagamit. Halimbawa, ang gumagamit ng pag-atake ay maaaring gumamit ng DOM upang mai-redirect ang impormasyon ng gumagamit sa pamamagitan ng hindi tamang pagsumite sa isang third-party na nakakahamak na website.
