XSS (CrossSite Scripting) bu vebilovalar xavfsizligidagi zaiflik bo'lib, tajovuzkorga boshqa foydalanuvchilar ko'rayotgan vebsahifalarga zararli skriptlarni kiritishga imkon beradi.
XSS orqali tajovuzkor foydalanuvchi hisob qaydnomasini o'g'irlashi, vebsayt ko'rinishini o'zgartirishi yoki foydalanuvchini zararli vebsaytga yo'naltirishi mumkin. XSS zaifliklari vebilovaning foydalanuvchi tomonidan kiritilgan ma'lumotlarni to'g'ri tekshirmasligi natijasida yuzaga keladi.
Agar ilova foydalanuvchi kiritgan ma'lumotlarni to'g'ri tekshirmasa va bu ma'lumotlar vebsahifaga chiqarilsa, tajovuzkor zararli skriptlarni kiritishi mumkin. Brauzer bu skriptlarni ishonchli manbadan kelgan deb qabul qiladi va ularni bajaradi. XSSning uchta asosiy turi mavjud: 1.
Saqlangan (Persistent) XSS: Bu turdagi XSSda zararli skript vebserverda saqlanadi (masalan, ma'lumotlar bazasida, faylda yoki sharhlar bo'limida). Keyinchalik, foydalanuvchi shu sahifani ochganda, zararli skript avtomatik ravishda ishga tushadi.
Bu XSSning eng xavfli turi hisoblanadi, chunki tajovuzkor bir marta skriptni joylashtirsa, har bir tashrif buyuruvchi uning ta'siriga tushishi mumkin. 2. Aks ettirilgan (Reflected) XSS: Bu turdagi XSSda zararli skript foydalanuvchiga havola (link) orqali yuboriladi.
Havola orqali vebsaytga kirganda, zararli skript ishga tushadi. Aks ettirilgan XSS ko'pincha ijtimoiy muhandislik usullari bilan birga ishlatiladi, bunda foydalanuvchi zararli havolani bosishga ishontiriladi. 3.
DOMga asoslangan XSS: Bu turdagi XSSda zararli skript vebsahifaning DOM (Document Object Model) tuzilishiga kiritiladi. DOM bu vebsahifaning brauzer tomonidan yaratilgan daraxtsimon tasviri.
Agar vebsahifa DOMni yaratishda foydalanuvchi kiritgan ma'lumotlarni to'g'ri tekshirmasa, tajovuzkor zararli skriptni DOMga kiritishi mumkin. Bu turdagi XSS serverga hech qanday so'rov yubormasdan, to'g'ridanto'g'ri brauzerda amalga oshiriladi.
XSSning oldini olish uchun quyidagi choralarni ko'rish kerak: 1. Foydalanuvchi kiritgan ma'lumotlarni tekshirish: Vebilova foydalanuvchi kiritgan har qanday ma'lumotni (masalan, ism, elektron pochta manzili, sharhlar, qidiruv so'rovlari) tekshirishi kerak.
Tekshirish jarayoni zararli belgilar va kodlarni filtrlashni o'z ichiga oladi. Ma'lumotlarni chiqarishdan oldin, ularni tozalash (sanitization) muhim. 2. Ma'lumotlarni kodlash (Encoding) : Foydalanuvchi kiritgan ma'lumotlar vebsahifaga chiqarilishidan oldin kodlanishi kerak.
XSS cross-site scripting
Kategoriyalar: Ushbu maqola hali kategoriyaga biriktirilmagan