|
Passiv o‘zaro faoliyat sayt skriptlari
|
| bet | 19/26 | | Sana | 01.02.2024 | | Hajmi | 2,07 Mb. | | #150023 |
Passiv o‘zaro faoliyat sayt skriptlari
Passiv o‘zaro faoliyat sayt skriptlari faqat foydalanuvchi tomonidan ma'lum ma'lumotlarni uzatishda ishlaydi, ya'ni hujumda hacker foydalanuvchini xssni chaqirishga majbur qilishi kerak. XSSning bunday turi Hackerning ta'siriga bog‘liq, chunki foydalanuvchi xavfli kod bilan bog‘lanishga qarab, noto‘g‘ri narsa haqida shubhalanishi mumkin. Yana bir usul, chunki ishoratlar juda uzoq olingan, deb aslida amalga oshirish uchun noqulay hisoblanadi. Shuning uchun, agar hacker sayt administratoriga yoki oddiygina rivojlangan foydalanuvchiga bunday aloqani surmoqchi bo‘lsa, u uni tekshirish mumkin emas. Aytaylik, bunday qidiruvni amalga oshiradigan skript qidiruv so‘rovini qidiruv parametri orqali uzatadi va bu parametr skript tomonidan filtrlanmaydi. Bundan tashqari, berilgan skript so‘rov natijalari sahifasida ko‘rsatiladi. Keyin link shunday bo‘lishi kerak: skript.php?qidiruv=[kerakli satr]
Shunga ko‘ra, hacker parametr qiymati o‘rniga html kodi bilan bog‘lanishni yuborishi kerak, masalan:
script.php?search=Hacked
Agar siz foydalanuvchini ushbu havolani bosishga majbur qilsangiz, u qalin "Hacked"so‘zini ko‘rsatadigan sahifani ko‘radi. Bundan tashqari, kabi boshqa teglardan foydalanishingiz mumkin, keyin matn katta harflar bilan ko‘rsatilishi uchun ishlaydigan chiziq yoki va sifatida ko‘rsatiladi. Bir qarashda, foydalanuvchini havolani bosishga majbur qilish oson emas. Ijtimoiy muhandislik usullari qutqarish uchun keladi. Agar hacker Foydalanuvchining ishonchini qozonsa, unda ba'zi bir rasm yoki boshqa qiziqarli narsalar borligini aytish kifoya. Kodning o‘rniga Hacked hacker sessiya ushlash yoki cookie o‘g‘irlash kodini yozishi mumkin (bu haqda keyinroq). Foydalanuvchidan shubhalarni bartaraf qilish uchun siz barcha havolani yoki kamida burchak qavslarini hexadecimal belgilar kodlari bilan almashtirishingiz mumkin (%3C-ochiladigan burchak qavs, % 3e-yopish):
script.php?search=%3cmarquee%3eHacked%3c/marquee%3e.
Quyidagi havolada parametrning qiymati "GET script" usuli bilan uzatiladi.php?search=Hacked
Agar hacker foydalanuvchini POST usuli bilan ma'lumotlarni qabul qiladigan skriptga xavfli havola qilsa, u holda hech narsa chiqmaydi. Buni amalga oshirish uchun POST usuli yordamida foydalanuvchi ma'lumotlarini skriptga yuboradigan html formasini yozishingiz kerak bo‘ladi. Foydalanuvchi hacker sahifasiga kirganda, javascript kodi ishlaydi, u darhol foydalanuvchini zaif saytga yuboradi va kerakli parametrlarni skriptga uzatadi.
|
| |
