2. Saytlararo skript yaratish (XSS)
Saytlararo skript (XSS) hujumlari veb-saytga zararli kod yoki zararli skriptni kiritishni o'z ichiga oladi. Keyin veb-sayt skriptni bajaradi, bu tajovuzkorga seans tokenlari va cookie fayllari kabi nozik foydalanuvchi ma'lumotlarini o'g'irlash yoki boshqa harakatlarni amalga oshirish imkonini beradi.
XSS hujumlarining ikkita asosiy turi mavjud: aks ettiruvchi va saqlangan. Reflektiv XSS hujumlari darhol amalga oshiriladigan veb-saytga zararli kodni kiritishni o'z ichiga oladi. Saqlangan XSS hujumlari keyinroq saqlanadigan va bajariladigan veb-saytga zararli kodni kiritishni o'z ichiga oladi.
Muvaffaqiyatli bo'lsa, saytlararo skript hujumi foydalanuvchi seans identifikatorlari o'g'irlanishi, veb-saytning buzilishi va zararli saytlarga yo'naltirilishiga olib kelishi mumkin, bu esa fishing hujumlarini amalga oshirishga imkon beradi.
Buni quyidagi qadamlar bilan kamaytirishingiz mumkin:
Foydalanuvchi kiritishini tasdiqlash.
Chiqish kodlash usullaridan foydalaning.
OWASP AntiSamy kabi avtomatik tozalash kutubxonalaridan foydalaning .
Kontent xavfsizligi siyosatini amalga oshirish.
SQL in'ektsiyasi bo'yicha tavsiyalarga o'xshab, zamonaviy veb-ramkalardan foydalanish odatda XSS va shunga o'xshash hujumlardan qochish uchun ishlab chiquvchilarni xavfsiz kodlash amaliyotiga yo'naltiradi.
3. Saytlararo so‘rovlarni qalbakilashtirish (CSRF)
Saytlararo so'rovlarni qalbakilashtirish (CSRF) - bu jabrlanuvchini ularning bilmagan holda veb-saytda harakat qilish uchun aldashni o'z ichiga olgan hujum turi. Buni jabrlanuvchi allaqachon autentifikatsiya qilingan veb-saytga zararli havola yoki shakl kiritish orqali amalga oshirish mumkin.
Jabrlanuvchi havolani bosganda yoki shaklni topshirganda, harakat ularning nomidan amalga oshiriladi, bu ma'lumotlarning yo'qolishiga yoki ruxsatsiz kirishga olib kelishi mumkin.
Buni quyidagi qadamlar bilan kamaytirishingiz mumkin:
Agar mavjud bo'lsa, siz foydalanayotgan ramkaga allaqachon o'rnatilgan CSRF himoyalaridan foydalaning.
CSRF tokenlaridan foydalaning. Bular foydalanuvchi sessiyasi bilan bog‘liq noyob, tasodifiy qiymatlar bo‘lib, so‘rovning haqiqiyligini tekshirish uchun shakllar va havolalarga kiritilgan.
SameSite cookie-fayllaridan foydalaning. Bu cookie fayllarining bir turi boʻlib, ular faqat cookie yaratilgani bilan bir xil kelib chiqish soʻrovlari bilan yuboriladi. Bu tajovuzkorlarning jabrlanuvchi nomidan so‘rov yuborishining oldini olishga yordam beradi, chunki ular qurbonning SameSite cookie-fayllariga kira olmaydi.
| 