• Quyidagi usullar XSS seranglariga qarshi himoya qilishga yordam beradi
  • Korsatilayotgan xabarlar uchun HTML kodini qutilash
  • Input validation
  • Xss tahdidi va undan himoyalanish usullari 951-19 guruh




    Download 0,64 Mb.
    Sana20.12.2023
    Hajmi0,64 Mb.
    #125011
    Bog'liq
    DVX XSS

    XSS tahdidi va undan himoyalanish usullari

    951-19 guruh

    Jumaboyev Holbek

    Reja:

    1. Foydalanuvchi kiritishlarini filtrlash.

    2. Ko'rsatilayotgan xabarlar uchun HTML kodini qutilash.

    3. HTTP only cookie.

    4. Content Security Policy (CSP).

    5. Input validation.

    XSS (Cross-Site Scripting) - bu veb-saytlarda ochiladigan tashqi kodni taqdim etish orqali salbiy tasirga olishning bitta turidir. XSS seranglari yordamida salbiy foydalanuvchilarning kompyuterida saqlanayotgan fayllarga, murojaat qilgan veb-saytlarning cookie va sessionlariga, shuningdek, foydalanuvchilar bilan aloqada bo'lgan boshqa xususiy ma'lumotlarga murojaat qilish mumkin.

    XSS (Cross-Site Scripting) - bu veb-saytlarda ochiladigan tashqi kodni taqdim etish orqali salbiy tasirga olishning bitta turidir. XSS seranglari yordamida salbiy foydalanuvchilarning kompyuterida saqlanayotgan fayllarga, murojaat qilgan veb-saytlarning cookie va sessionlariga, shuningdek, foydalanuvchilar bilan aloqada bo'lgan boshqa xususiy ma'lumotlarga murojaat qilish mumkin.

    XSS tahlili yordamida, veb-sayt tashqi kodni filtrlash yoki uni ajratish imkoniyatini taqdim etadi. Bu maqsadda, veb-sayt qayta ishlab chiqilgan foydalanuvchi kiritishlarini, ma'lumotlarini va ko'rsatishlarini tekshiradi.

    XSS tahlili yordamida, veb-sayt tashqi kodni filtrlash yoki uni ajratish imkoniyatini taqdim etadi. Bu maqsadda, veb-sayt qayta ishlab chiqilgan foydalanuvchi kiritishlarini, ma'lumotlarini va ko'rsatishlarini tekshiradi.

    Quyidagi usullar XSS seranglariga qarshi himoya qilishga yordam beradi:

    Foydalanuvchi kiritishlarini filtrlash: Foydalanuvchi kiritishlarini ko'rib chiqish va ularni filtrlash, to'g'ri va tasdiqlangan malumotlarni qabul qilish, yoki xato xabarini ko'rsatish yordamida salbiy kirishni oldini olish mumkin.

    Foydalanuvchi kiritishlarini filtrlash: Foydalanuvchi kiritishlarini ko'rib chiqish va ularni filtrlash, to'g'ri va tasdiqlangan malumotlarni qabul qilish, yoki xato xabarini ko'rsatish yordamida salbiy kirishni oldini olish mumkin.

    Ko'rsatilayotgan xabarlar uchun HTML kodini qutilash: Foydalanuvchilarning kiritishlarida HTML kodini qutilash yordamida, salbiy kod yopiq ko'rinmaydi va o'z o'rnida matn ko'rsatiladi.

    HTTP only cookie: HTTP-only cookie-lar salbiy tashqi kodlar tomonidan o'zgartirilishiga to'g'ri kelmasligi uchun foydalaniladigan maxsus bir turi hisoblanadi. Bular faqatgina brauzer yordamida murojaat qilinishidan boshqa qurilmalar uchun mavjud emas.

    HTTP only cookie: HTTP-only cookie-lar salbiy tashqi kodlar tomonidan o'zgartirilishiga to'g'ri kelmasligi uchun foydalaniladigan maxsus bir turi hisoblanadi. Bular faqatgina brauzer yordamida murojaat qilinishidan boshqa qurilmalar uchun mavjud emas.

    Content Security Policy (CSP): CSP veb-saytlarga ko'rsatilayotgan tashqi skriptlarni va resurslarni cheklashni taqdim etadi. Veb-sayt tomonidan tasdiqlangan skriptlar va resurslar faqat shu veb-sayt tomonidan chaqiriladi.

    Input validation: Foydalanuvchilar tomonidan kiritilgan ma'lumotlar validatsiyadan o'tkazilishi va faqat ruxsat etilgan belgilar qabul qilinishi mumkin.

    Bu usullar veb-saytlarda XSS tahlilini oson va ishonchli qilishga yordam beradi.

    XSS salbiy kodni salbiy foydalanuvchilarning kompyuteriga, cookie va sessionlarga, foydalanuvchilar bilan aloqada bo'lgan boshqa xususiy ma'lumotlarga o'zgartirishga yordam beradi. XSS seranglari tashqi kodni quyidagi yo'llar orqali qo'shadi:

    XSS salbiy kodni salbiy foydalanuvchilarning kompyuteriga, cookie va sessionlarga, foydalanuvchilar bilan aloqada bo'lgan boshqa xususiy ma'lumotlarga o'zgartirishga yordam beradi. XSS seranglari tashqi kodni quyidagi yo'llar orqali qo'shadi:

    Reflected XSS: Foydalanuvchilar tomonidan kiritingan kiritishlar shakllantirib, saytga murojaat qilinganda, sayt u ko'rsatgan xabarlar orqali foydalanuvchi kompyuteriga tashqi skriptlar kiritishi mumkin.

    Stored XSS: Foydalanuvchi yoki salbiy kod ishlatuvchilari tomonidan kiritilgan malumotlar serverda saqlanishi mumkin. Bu tashqi skriptlar yordamida salbiy tashqi kod qo'shilishi mumkin. Bu turi XSS salbiy kod salbiy sayt tashqi xodimlarining barcha foydalanuvchilarga ko'rsatgan yozuvlari, sharhlar va boshqa tashqi kiritishlari yordamida qo'shilishi mumkin.

    Stored XSS: Foydalanuvchi yoki salbiy kod ishlatuvchilari tomonidan kiritilgan malumotlar serverda saqlanishi mumkin. Bu tashqi skriptlar yordamida salbiy tashqi kod qo'shilishi mumkin. Bu turi XSS salbiy kod salbiy sayt tashqi xodimlarining barcha foydalanuvchilarga ko'rsatgan yozuvlari, sharhlar va boshqa tashqi kiritishlari yordamida qo'shilishi mumkin.

    Bu usullar sayt tashqi kodlari tomonidan amalga oshirilgan XSS seranglarini oldini olish uchun keng qo'llaniladi. Buning tufayli foydalanuvchilar va sayt administratorlari saytlarini xavfsiz yaxshi usullarda saqlashadi va saytga kirish yordamida o'zlarining xususiy ma'lumotlarini va kompyuterlarini tashqi seranglardan himoyalashadi.

    Bu usullar sayt tashqi kodlari tomonidan amalga oshirilgan XSS seranglarini oldini olish uchun keng qo'llaniladi. Buning tufayli foydalanuvchilar va sayt administratorlari saytlarini xavfsiz yaxshi usullarda saqlashadi va saytga kirish yordamida o'zlarining xususiy ma'lumotlarini va kompyuterlarini tashqi seranglardan himoyalashadi.

    Savollar?


    Download 0,64 Mb.




    Download 0,64 Mb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Xss tahdidi va undan himoyalanish usullari 951-19 guruh

    Download 0,64 Mb.