Üks levinumaid haavatavuse klasse veebisaitidel on "saitideülene skriptimine" või "XSS". XSS-i haavatavused on kohad, kus kasutaja võib JavaScripti käivitada. XSS-i haavatavusel on mitu erineva raskusastmega varianti.
Probleem selles, et ründaja suudab teiste kasutajate seanssides JavaScripti käivitada, seisneb selles, et ründajal on siis võimalik ohvritele nähtavale veebisaidile midagi ette võtta. See hõlmab ohvrite ümbersuunamist välistele veebisaitidele, autentimislubade varastamist ja makseandmete jälgimist.
XSS-i haavatavuse kõige raskem vorm on "salvestatud" või "püsiv" saidiülene skriptimine, kus ründajal on võimalik koostada XSS-i kasulik koormus ja see seejärel esitada, nii et see salvestatakse andmebaasi. Andmebaasi salvestatud XSS-i kasutamine võib seejärel mõjutada teisi kasutajaid pikema aja jooksul.
Teine saidiülese skriptimise vorm on "Reflected", seda tüüpi ei salvestata ühelgi hetkel, selle asemel lisatakse kasulik koormus brauserisse. Tavaliselt on seda tüüpi XSS osa andmepüügirünnakutest, kus ründaja üritab ohvrit meelitada pahatahtlikule lingile klõpsama.
Üldiselt saadetakse enamiku XSS-i rünnakute kasulik koormus mingil hetkel serverisse, kuid mõned rünnakud on puhtalt kliendipoolsed, neid ei saadeta kunagi serverisse ja selle asemel mõjutavad need ainult kliendipoolset JavaScripti. Seda nimetatakse DOM-põhiseks XSS-iks, kuna see jääb JavaScripti dokumendiobjekti mudelisse ehk DOM-i. Seda tüüpi haavatavust on eriti raske tuvastada ja kõrvaldada, kuna server ei näe kunagi ärakasutusi ja seetõttu ei saa neid logida.
Ajalooliselt on XSS-i haavatavuste vältimise tehnikaks kõigi kasutajate esitatud andmete filtreerimine, kasutades blokeerimisloendeid, et lükata tagasi kõik JavaScriptis tähenduslike märkide või sõnadega sõnumid. See kippus viima võidurelvastumiseni filtrist möödaviikude leidmisel, takistades samas ka mõningaid õigustatud kasutajate esildisi. Õige lahendus on HTML-i olemite kasutamine kasutaja esitatud andmete kodeerimiseks. kui HTML-olemite moodulid on lubatud, kodeeritakse märgid automaatselt vormingusse, kus brauser teab neid õigete sümbolitena kuvada, kuid mitte koodina käsitleda.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
