|
Fanidan tayyorlagan mustaqil ishi Mavzu: saytlararo skriptlash reja: 1
|
bet | 2/5 | Sana | 16.05.2024 | Hajmi | 313,91 Kb. | | #238427 |
Bog'liq Axborot xavfsizligi.Saytlararo skriptlashhacker
Saytlararo skript hujumi (XSS)
Saytlararo skript yaratish texnikasi juda oddiy. Amalda, XSS hujumlari qurbonning veb-brauzerida yoki veb-ilovasida skriptlarni bajarish uchun uchinchi tomon veb-resurslaridan foydalanadi. Xususan, tajovuzkor veb-sayt ma'lumotlar bazasiga zararli JavaScript yukini kiritadi. Jabrlanuvchi veb-saytdan sahifa so'raganda, veb-sayt tajovuzkorning foydali yuki HTML korpusining bir qismi sifatida sahifani zararli skriptni bajaradigan jabrlanuvchining brauzeriga o'tkazadi. Misol uchun, u jabrlanuvchining cookie faylini tajovuzkor serveriga yuborishi mumkin va tajovuzkor uni ajratib olib, sessiyani o'g'irlash uchun ishlatishi mumkin. Eng xavfli oqibatlar XSS-dan keyingi zaifliklardan foydalanish uchun foydalanilganda yuzaga keladi. Bu zaifliklar tajovuzkorga nafaqat cookie-fayllarni o‘g‘irlash, balki klavishlarni bosish, skrinshot olish, tarmoq ma’lumotlarini topish va yig‘ish, jabrlanuvchining mashinasiga masofadan kirish va boshqarish imkonini ham berishi mumkin.
XSS-ni VBScript, ActiveX va Flash-ga o'rnatish mumkin bo'lsa-da, eng ko'p suiiste'mol qilinadigani JavaScript-dir - asosan JavaScript Internetda keng qo'llab-quvvatlanganligi sababli.
Agar siz hujumga uchragan bo'lsangiz va normal ishlashni tiklashingiz kerak bo'lsa yoki shunchaki aniq ko'rish va yaxshiroq tushunishni istasangiz yoki oldini olishni istasangiz: rda@hrcsrl.it manziliga yozing.
O'rtadagi odam hujumi xaker mijoz va server o'rtasidagi aloqaga aralashganda sodir bo'ladi. O'rtadagi odam hujumlarining ba'zi keng tarqalgan turlari:
Seansni o'g'irlash
Ushbu turdagi Man in the Middle hujumida tajovuzkor ishonchli mijoz va tarmoq serveri o'rtasidagi seansni o'g'irlaydi. Hujum qilgan kompyuter o'zining IP manzilini ishonchli mijozning IP manzili bilan almashtiradi, server esa mijoz bilan aloqa o'rnatayotganiga ishonib, sessiyani davom ettiradi. Masalan, hujum quyidagicha bo'lishi mumkin:
Mijoz serverga ulanadi.
Buzg'unchining kompyuteri mijoz ustidan nazoratni qo'lga kiritadi.
Buzg'unchining kompyuteri mijozni serverdan uzib qo'yadi.
Buzg'unchining kompyuteri mijozning IP manzilini o'zining IP manzili bilan almashtiradi e
va mijozning MAC manzilini soxtalashtiradi.
Buzg'unchining kompyuteri server bilan gaplashishda davom etmoqda va server hali ham haqiqiy mijoz bilan aloqa o'rnatayotganiga ishonadi.
IP-spoofing
IP-spoofing tajovuzkor tomonidan tizimni ma'lum va ishonchli ob'ekt bilan aloqa o'rnatayotganiga ishontirish va shu bilan tajovuzkorga tizimga kirishni ta'minlash uchun ishlatiladi. Buzg'unchi maqsadli xostga o'zining IP-manzili o'rniga ma'lum va ishonchli xostning manba IP-manziliga ega paketni yuboradi. Mo‘ljaldagi xost paketni qabul qilishi va shunga ko‘ra kirish huquqini berishi mumkin.
Takroriy hujum tajovuzkor eski xabarlarni ushlab, saqlagan va keyin ularni ishtirokchilardan biriga taqlid qilib yuborishga harakat qilganda sodir bo'ladi. Ushbu turga osongina seans vaqt belgilari yoki a bilan qarshi turish mumkin nuncio (vaqt o'tishi bilan o'zgarib turadigan tasodifiy son yoki satr).
Hozirda barcha Man in Middle hujumlarining oldini olish uchun yagona texnologiya yoki konfiguratsiya mavjud emas. Umuman olganda, shifrlash va raqamli sertifikatlar aloqaning maxfiyligi va yaxlitligini ta'minlab, Man in the Middle hujumlaridan samarali himoyani ta'minlaydi. Ammo o'rtadagi odam hujumi aloqa o'rtasiga shunday kiritilishi mumkinki, hatto kriptografiya ham yordam bera olmaydi - masalan, "A" tajovuzkor "P" shaxsining ochiq kalitini ushlab, uni o'rniga qo'yadi. sizning umumiy kalitingiz. Shunday qilib, P ning ochiq kaliti yordamida shifrlangan xabarni P ga jo'natmoqchi bo'lgan har bir kishi o'zi bilmagan holda A ning ochiq kalitidan foydalanmoqda.Shuning uchun A P uchun mo'ljallangan xabarni o'qib, so'ngra P ning haqiqiy ochiq kaliti bilan shifrlangan xabarni P ga yuborishi mumkin. va P hech qachon xabar buzilganligini sezmaydi. Bundan tashqari, A xabarni P ga qaytarib yuborishdan oldin oʻzgartirishi ham mumkin. Koʻrib turganingizdek, P shifrlashdan foydalanmoqda va oʻz maʼlumotlarini xavfsiz deb hisoblaydi, ammo “Oʻrtadagi odam” hujumi tufayli bunday emas.
|
| |