آسیب پذیری XSS چیست و راه‌های محافظت در برابر آن کدامند؟

1
173
آسیب پذیری XSS چیست و چگونه در برابر آن محافظت کنیم؟

در این مطلب قصد داریم راجع به آسیب‌ پذیری XSS و راه‌های محافظت در برابر آن را بنویسیم. با یک مثال شروع می‌کنیم : 

فرض کنید صاحب یک وب‌سایت شبکه اجتماعی هستید. همانطور که می‌دانید فعالیت کاربران در این نوع وب‌سایت‌ها بیشتر با دیدگاه یا comment گذاشتن مشخص می‌شود.

 هر چقدر فعالیت کاربران در انتشار پست و دیدگاه گذاشتن بیشتر شود، محبوبیت وب‌ سایت شما بیشتر می‌شود. متاسفانه به همین نسبت توجه خرابکاران هم به وب‌سایت شما بیشتر می‌شود. آنها قصد دارند به وب‌سایت و اطلاعات کاربران شما دسترسی‌های غیر مجاز داشته باشند. 

خرابکاران می‌توانند با سو استفاده از سیستم دیدگاه گذاشتن وب‌ سایت شما، کد جاوا اسکریپت به وب‌ سایت ارسال کنند (یا کد جاوا اسکریپت تزریق کنند). در اینصورت می‌گوییم حمله XSS رخ داده است. برای مثال در قسمت متن دیدگاه وب‌سایت خود کد زیر را وراد کنید:

<script>
alert('This is a test')
</script>

اگر یک پنجره با نوشته This is a test ظاهر شد، یعنی وب‌سایت شما نسبت به XSS آسیب پذیر است.

خرابکاران به وسیله آسیب‌ پذیری XSS می‌توانند کوکی‌های سایر کاربران را به سرقت ببرند که منجر به سرقت نشست (session hijacking) می‌شود.  

خرابکار چه استفاده‌هایی از آسیب پذیری XSS می‌تواند انجام دهد: 

آسیب پذیری XSS اجازه اجرا شدن خودسرانه کد‌های جاوا اسکریپت را می‌دهد. بنابراین شدت آسیب وارده به حساسیت داده‌های وب‌سایت قربانی بستگی دارد. 

  • پخش کردن کرم (Worm) در وب‌سایت‌های شبکه اجتماعی.
  • سرقت نشست : جاوا اسکریپت مخرب ID نشست را به وب‌سایتی که تحت کنترل خرابکار است ارسال می‌کند. در نتیجه خرابکار می‌تواند خود را جای آن کاربر جا بزند.
  • سرقت هویت : اگر کاربر اطلاعات مهمش مانند کارت اعتباری و غیره را وارد وب‌سایت آسیب‌ پذیر کند، خرابکار می‌تواند آن اطلاعات را با جاوا اسکریپت مخرب به سرقت برد.
  • حمله DoS 
  • سرقت اطلاعات مهم مانند رمزعبور

راه‌های حفاظت از حمله XSS :

۱-کنترل ورودی پویا

کنرل ورودی پویا به معنی جلوگیری از واردن کردن تگ‌ها از فیلد‌های قابل ویرایش وب‌سایت است. بدین صورت که به جای علائم HTML از کاراکترها استفاده شود که به این Escape Dynamic Content می‌گویند. برای مثال :

” —–> &#34
# —–>  &#35
& —–> &#38
‘ —–> &#39
( —–> &#40
) —–> &#41
/ —–> &#47
; —–> &#59
< —–> &#60
> —–> &#62

امروزه بیشتر صفحات وب‌ توسط CMS‌ها ساخته می‌شوند. CMS‌های معروف به صورت پیش فرض escape dynamic content را اعمال می‌کنند.

۲- استفاده از Content-Security Policy

مرورگرهای به روز از Content-Security Policy پشتیبانی می‌کنند. این قابلیت برای مثال به صاحب وب‌سایت این توانایی را می‌دهد که بتواند اجرای کد‌های جاوا اسکریپت را کنترل کند. از طرفی آسیب پذیری XSS به خرابکار این اجازه را می‌دهد که روی وب‌سایت قربانی کد مخرب جاوا اسکریپت اجرا کند.

با استفاده از Content-Security Policy شما می‌توانید به مرورگر بگویید هرگز جاوا اسکریپت‌های بر خط (In line) را اجرا نکند و مشخص کنید کدام دامنه می‌تواند میزبان جاوا اسکریپت وب‌سایت شما باشد.

Content-Security-Policy: script-src 'self' https://apis.google.com

علاوه بر ارسال دستور فوق به مرورگر توسط HTTP Header، می‌توانید از تگ meta در صفحات html نیز استفاده کنید.

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://apis.google.com">

۳- Sanitize HTML

می‌توانید برای پاکسازی تگ‌ها از کتابخانه Sanitize HTML استفاده کنید.  در واقع این پروسه ورودی‌های مخرب کاربران را پاک می‌کند. در زبان‌های مختلف پاکسازی HTML با توابع مختلفی انجام می‌شود. برای مثال در php می‌توانید از تابع strip_tags() استفاده کنید.

 

HTTP-only Cookies

همانطور که بالاتر خواندیم، سرقت نشست یکی از خطراتی است که در حمله XSS متوجه کاربران وب‌سایت می‌شود. برای جلوگیری از این تهدید، باید از کوکی‌های httponly استفاده کنید. به این معنی که کوکی‌ها فقط توسط مرورگر ارسال، دریافت و ذخیره می‌شوند و نمی‌توان با استفاده از جاوا اسکریپت آنها را ویرایش کرد یا خواند. 

همین حالا وب‌سایت خود را برای آسیب پذیری XSS بررسی کنید و تمهیدات لازم را انجام دهید. فراموش نکنید اگر خود ما وب‌سایت‌مان را بررسی نکنیم، اشخاص دیگر پیشقدم می‌شوند و ممکن است اطلاعات ما یا کاربران را به مخاطره بیاندازند.

1 نظر

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.