Πώς να κάνετε σάρωση ιστότοπων χρησιμοποιώντας δέσμες ενεργειών μεταξύ ιστότοπων (XSS);

Το σενάριο μεταξύ ιστότοπων ή το XSS αποτελεί απειλή για την ασφάλεια ενός ιστότοπου. Είναι το πιο κοινό και δημοφιλές εργαλείο εισβολής για να αποκτήσετε πληροφορίες πρόσβασης από έναν χρήστη σε έναν ιστότοπο. Υπάρχουν χάκερ με κακόβουλους στόχους που το χρησιμοποιούν για να επιτεθούν σε συγκεκριμένους ιστότοπους στο Διαδίκτυο. Αλλά κυρίως καλοί χάκερ κάνουν αυτό για να βρουν τρύπες ασφαλείας για ιστότοπους και να τους βοηθήσουν να βρουν λύσεις. Το σενάριο μεταξύ ιστότοπων είναι ένα κενό ασφαλείας σε έναν ιστότοπο που είναι δύσκολο να εντοπιστεί και να σταματήσει, καθιστώντας τον ιστότοπο ευάλωτο σε επιθέσεις από κακόβουλους χάκερ. Αυτή η απειλή ασφαλείας αφήνει τον ιστότοπο και τους χρήστες του ανοιχτούς σε κλοπή ταυτότητας, οικονομική κλοπή και κλοπή δεδομένων. Θα ήταν επωφελές για τους κατόχους ιστότοπων να κατανοήσουν πώς λειτουργεί η δέσμη ενεργειών μεταξύ ιστότοπων και πώς μπορεί να επηρεάσει αυτούς και τους χρήστες τους, ώστε να μπορούν να τοποθετήσουν τα απαραίτητα συστήματα ασφαλείας για να αποκλείσουν τη δέσμη ενεργειών μεταξύ ιστότοπων στον ιστότοπό τους.

1. Προέλευση ετικέτας - Το σενάριο μεταξύ των τοποθεσιών της ετικέτας προήλθε από τη διαδικασία δημιουργίας ενός ιστότοπου στον ιστότοπο προορισμού και έπειτα ένεση ενός Javascript για να του επιτρέψει να γράψει και να διαβάσει δεδομένα σε αυτόν τον ιστότοπο για τη συλλογή πληροφοριών από τα cookie.
2. Cross-scripting attack - Η μία μέθοδος που χρησιμοποιείται περισσότερο ονομάζεται επίμονη επίθεση. Αυτή η μέθοδος αποθηκεύεται σε έναν ιστότοπο και επιτίθεται συνεχώς στον ιστότοπο και στους χρήστες του. Αυτοί οι ιστότοποι που δεν φιλτράρουν το σενάριο xml, όπως εκείνοι που έχουν πίνακες μηνυμάτων όπου φιλοξενείται το html ή παράθυρα σύνδεσης. Αυτές είναι τρύπες ασφαλείας και είναι ανοιχτές σε επιθέσεις. Η επίμονη επίθεση χρησιμοποιείται συνήθως επειδή εισάγετε μόνο μία φορά και συνεχίζει να επηρεάζει τον ιστότοπο και όλους όσους επισκέπτονται.
3. Στόχευση ενός ιστότοπου - Η εύρεση ενός ευάλωτου ιστότοπου είναι το πρώτο βήμα. Βρίσκετε περιοχές στον ιστότοπο που παρέχει cookie και από εκεί προέρχονται πληροφορίες και δεδομένα. Μπορείτε να συλλέξετε πληροφορίες μεμονωμένου χρήστη από cookie, όπως πληροφορίες σύνδεσης σε διευθύνσεις IP.
4. Κάντε τα cookies χρήσιμα - Για τη συλλογή αυτών των cookies δημιουργείται ένα βασικό αρχείο php για την καταγραφή των διευθύνσεων IP και άλλων πληροφοριών. Το αρχείο php μεταφορτώνεται σε έναν ιστότοπο και στη συνέχεια εισάγεται ένα σενάριο στον ιστότοπο προορισμού που αλλάζει τη θέση του προγράμματος περιήγησης στο αρχείο php που ανεβάσατε. Έτσι, όταν οι χρήστες κάνουν κλικ στην ανάρτηση, οι πληροφορίες χρήστη αποστέλλονται στο αρχείο php που δημιουργήσατε, τότε μπορείτε να το δώσετε στον ιστότοπο στον οποίο ανεβάσατε το αρχείο php. Το σενάριο είναι καλά κρυμμένο κάτω από οτιδήποτε όπως ένα πρόγραμμα Javascript ή μια παρουσίαση flash.

Η εκμάθηση του τρόπου παραβίασης ιστότοπων με διασταυρούμενα σενάρια μπορεί να βοηθήσει αυτούς τους ιστότοπους να παρέχουν περισσότερη ασφάλεια στους χρήστες τους. Η δημιουργία ενός ιστότοπου με γνώμονα αυτήν την τρύπα ασφαλείας θα συμβάλει στην αποφυγή προβλημάτων στο μέλλον.