Chanzo: www.hackerone.com – Mwandishi: Sandeep Singh. Kulingana na Ripoti ya 8 ya Usalama ya Kila Mwaka ya HackerOne, XSS ndiyo hatari ya kwanza ya kupata fadhila ya mdudu na nambari ya pili kwa kupekua. Kwa kuchanganya aina tatu za XSS zinazojulikana zaidi, hufanya asilimia 20 ya aina zote za athari zinazogunduliwa kwenye mfumo wa HackerOne. Licha ya kuenea kwake kote kama tunda lisilofaa, XSS inaweza kuwa na athari kubwa kwa shirika, ikiwa ni pamoja na kutolewa kwa taarifa za siri za mtumiaji, utoaji wa taarifa potofu ili kuelekeza tabia mbaya ya mtumiaji, na uharibifu mbaya wa sifa. Wacha tuangalie kwa karibu zaidi XSS – ni nini, inatumiwaje, na jinsi ya kuirekebisha. Je! Uandikaji wa Tovuti Mtambuka (XSS) ni Nini? Uandishi wa tovuti mbalimbali (XSS) ni athari ya kiusalama ya wavuti ambayo humruhusu mshambulizi kuingiza hati mbaya za upande wa mteja kwenye kurasa za wavuti zinazotazamwa na watumiaji wengine. Mshambulizi anaweza kukwepa vidhibiti vya ufikiaji na kuiga watumiaji. Athari ya XSS humruhusu mvamizi kuiba vidakuzi vya kipindi, kuweka vibonye vitufe, kutoa data ya siri inayoonyeshwa kwenye tovuti iliyo hatarini, na kufanya vitendo vingine hasidi kwenye mifumo ya mtumiaji wa hatima. Kuna aina tatu kuu: iliyoakisiwa, iliyohifadhiwa, na XSS yenye msingi wa DOM. Tofauti kuu kati ya aina hizi tatu za XSS ni: XSS iliyoakisiwa hutokea wakati ingizo lisilosahihishwa linalotolewa na mtumiaji linarejeshwa kutoka kwa seva lakini halihifadhiwi kwenye seva XSS Iliyohifadhiwa hutokea wakati data iliyotolewa na mtumiaji inahifadhiwa kwenye upande wa seva bila. usafishaji na urejeshwaji kwa njia isiyo salama ya XSS yenye msingi wa DOM hutokea wakati ingizo la mtumiaji hasidi linachakatwa kwenye kivinjari pekee kabla ya kurudi kwa mtumiaji, bila kufikia seva Sababu za kawaida za Mashambulizi ya XSS ni pamoja na: Ingizo la mtumiaji lisilosahihishwa ambalo linaonyeshwa kwa watumiaji Usimbaji usiofaa wa matokeo Vivinjari vilivyopitwa na wakati na programu-jalizi ambazo hushindwa kuchuja hati mbovu Vidhibiti vya kuzuia vinaweza kutofautiana kulingana na hali halisi ya utumiaji, lakini hapa kuna baadhi ya maeneo mazuri ya kuanza: Uthibitishaji wa ingizo na usimbaji wa matokeo Miundo ya programu ya ulinzi ya XSS na maktaba Vijajuu vya Sera ya Usalama wa Maudhui Kubandika programu za wavuti zilizo hatarini Elimu ya mtumiaji dhidi ya hadaa. Je! Ni Sekta Gani Zinaathiriwa na Uandikaji wa Tovuti Mtambuka? XSS haibagui sekta. Walakini, ni maarufu zaidi katika tasnia zingine kuliko zingine. Chati iliyo hapa chini inaonyesha udhaifu mkuu katika jukwaa la HackerOne kulingana na sekta. XSS hufanya asilimia 7 pekee ya udhaifu uliotambuliwa katika nafasi ya Cryptocurrency na Blockchain, lakini inaunda asilimia 40 kubwa Serikalini. Mashirika ya Crypto na blockchain ni mapya zaidi, kumaanisha kuwa hayatumii programu ya urithi inayoweza kuathiriwa, na ni ya kiufundi kimsingi. Mashirika ya serikali, kwa upande mwingine, hayazingatii teknolojia kimsingi, kwa hivyo wanaona udhaifu mkubwa wa matunda ambao bado haujatambuliwa na kusuluhishwa na timu zao za usalama wa ndani. Angalia ni kiasi gani cha udhaifu wako ni XSS kwa kulinganisha na wastani wa sekta yako. Mfano wa Ulimwengu Halisi wa Nyenzo ya Kuathiriwa kwa Hati Mtambuka ya HackerOne’s Hacktivity inaonyesha udhaifu uliofichuliwa kwenye Mfumo wa HackerOne. Iangalie ili kuona jinsi udhaifu mahususi umetambuliwa na kurekebishwa. Mfano ufuatao wa uandishi wa tovuti mbalimbali unaonyesha jinsi mdukuzi aligundua uwezekano wa kuathirika katika yelp.com ambao unaweza kuruhusu uandikaji wa tovuti mbalimbali na unyakuzi wa akaunti. Mteja: Hatari ya Yelp: Imeakisiwa XSSSeverity: Muhtasari wa Juu Mwanachama wa jumuiya ya HackerOne aligundua udhaifu katika yelp.com ambao unaweza kuruhusu uwekaji hati wa tovuti mbalimbali na unyakuzi wa akaunti. XSS iliyoakisiwa iliwezekana kwa kudhibiti thamani ya kidakuzi ambayo haijaepukika. Hii inaweza kuunganishwa na suala la uchanganuzi wa vidakuzi ili kuweka upakiaji unaoendelea wa uandishi wa tovuti mbalimbali. Impact Mdukuzi, @lil_endian, alionyesha uwezekano wa maelewano kamili ya akaunti za biashara na uchukuaji wa akaunti za akaunti za kawaida kwenye yelp.com. Waliiga vitambulisho vya kuiba vya kuingia kwenye ukurasa wa kuingia wa biz.yelp.com kwa kutumia kiloja funguo na kuunganisha akaunti ya nje ili kuchukua wasifu wa mwathiriwa. Athari za kiusalama ziliathiri usalama wa akaunti na zinaweza kuwezesha ufikiaji ambao haujaidhinishwa kwa data ya mtumiaji, hivyo basi kuweka Yelp na data ya mtumiaji wake katika hatari kubwa ya kutumiwa vibaya. Urekebishaji Ili kurekebisha, nambari inapaswa kuhalalisha na kusafisha ingizo lolote la mtumiaji kabla ya kuitumia. Pamoja na timu ya Yelp kusuluhisha msimbo, mdukuzi pia alipendekeza kuondoa uwezo wa kuweka kidakuzi kupitia kigezo cha hoja pia hupunguza vekta hii ya shambulio. Reward Mdukuzi alipokea zawadi na shukrani ya $6,000 kutoka kwa timu ya Yelp kwa kuwasaidia kuepuka tukio. “Asante kwa kusaidia kuweka watumiaji wetu salama! Tunatumahi utaendelea kugongana na Yelps, tungependa kuona ni nini kingine utakachopata.” Linda Shirika Lako dhidi ya Uandishi wa Tovuti Mtambuka Ukitumia HackerOne Huu ni mfano mmoja tu wa kuenea na ukali wa athari ya athari ya XSS. HackerOne na jumuiya yetu ya wavamizi wa maadili ndio walio na vifaa bora zaidi vya kusaidia mashirika kutambua na kurekebisha XSS na udhaifu mwingine, iwe kupitia fadhila ya hitilafu, Pentest kama Huduma (PTaaS), Ukaguzi wa Usalama wa Kanuni, au masuluhisho mengine kwa kuzingatia mawazo ya mshambuliaji juu ya kugundua kuathirika. Pakua Ripoti ya 8 ya Kila Mwaka ya Usalama ya Hacker Powered ili upate maelezo zaidi kuhusu athari za udhaifu 10 bora wa HackerOne, au uwasiliane na HackerOne ili uanze kuchukua XSS katika shirika lako. Url ya Chapisho asili: https://www.hackerone.com/vulnerability-management/xss-deep-dive