خانه > Security > ایجاد اسکریپ در صفحات وب جهت حمله

ایجاد اسکریپ در صفحات وب جهت حمله

همانظور که قبلا گفته شد چون این کدها سمت کاربر اجرا می شوند پس منظور از اسکریپت کدهای PHP نیست، زیرا این کدها سمت سرور می باشند. در حالت کلی 5 تگ HTML برای گنجاندن این اسکریپت ها وجود دارد:

  1. <script> : معمولا برای درج کدهای JavaScript یا VBScript استفاده می شود.
  2. <object> : برای درج فایل هایی بر اساس کنترل هایی مثل Media Player، Flash و یا کامپوننت های ActiveX
  3. <applet> : فقط برای Java Applet ها استفاده می شود. نکته ای که در مورد این تگ وجود دارد این است که در HTML 4.01 با توجه به وجود تگ <object> این تگ از چشم افتاد و معنایی از منسوخ شدن به خود گرفت. اما باز هم کاربرد وسیع آن قابل توجه است. علی رغم این، در XHTML 1.0 نیز ساپورت نمی شود(برای اطلاعات بیشتر به http://www.w3.org/TR/xhtml1 میتوانید مراجعه کنید).
  4. <ifram> : برای گنجاندن یک صفحه در صفحه ای دیگر است.
  5. : برای گنجاندن پلاگین ها در یک صفحه مورد استفاده قرار میگیرد که معمولا این پلاگین ها برای صدا و تصویر می باشند. این تگ نیز مانند <applet> در HTML 4.01 و XHTML 1.0 وجود ندارد اما به دلیل استفاده زیاد آن توسط مرورگرها ساپورت می شود.

نکته قابل توجهی که باید به آن توجه کرد این است که اگر شما بخواهید عکسی را در سایت قرار دهید مجبور به استفاده از تگ <img> خواهید بود که فرم خاصی از <object> است، لذا ممکن است توسط آن کدهای مخربی در سایت گنجانده شود.

کدهای مخربی که با استفاده از اسکریپت ها داخل یک برنامه تزریق می شوند تقریبا هر کاری را می توانند انجام دهند. برای مثال: کنترل از راه دور مرورگر(در صورت بروز حمله XSS ، مهاجم این امکان را می یابد تا اطلاعات دلخواهی را به جای اطلاعات حقیقی نمایش دهد و در واقع کنترل صفحه نمایش اصلی وب سایت را بدست گیرد)، افشای اطلاعات کوکی، تغییر لینک ها در یک صفحه(در واقع تغییر هر آبجکتی در یک صفحه)، انتقال صفحه به صفحه ای دیگر(آدرسی به آدرس دیگر)، یا به نمایش درآوردن صفحه ای جعلی که اطلاعات را جمع آوری و برای هکر ارسال می کند و یا اعمال دیگری از این دست.

برای مشاهده لیست بلند بالایی از کدهای مخرب می توانید به آدرس http://ha.ckers.org/xss.html مراجعه کنید. این آدرس منابع خوبی در اختیار شما قرار می دهد که می توانید برای تست نرم افزار خود از آنها استفاده کنید. همچنین نگاهی اجمالی به آن نیز به شما در شناخت نفوذپذیری هایی از این نوع کمک خواهد کرد.

Advertisements
دسته‌ها:Security برچسب‌ها: ,
  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: