الثلاثاء، 27 مايو 2014
12:13 م
» »Unlabelled » What is XSS?

What is XSS?



What is XSS?



XSS is an abbreviation for Cross Site Scripting. This refers to a type of computer security vulnerability where malicious users can add carefully-constructed comments to webpageswith the intention of fooling web browsers. While most websites have filters to determine when a post containing XSS code is made, it is near impossible to filter all the different types of attacks possible. Thus, almost any website that allows users to post comments is susceptible to Cross Site Scripting attacks.
While Cross Site Scripting exploits are often done for the naive fun of creating JavaScript popups on popular webpages such as news articles, XSS attacks can also be vectors in more serious attacks such as phishing. Commonly, cookie information is stolen via XSS. This allows attackers access to users accounts on websites under attack. Additionally, attackers can change webpages to link to malicious web sites that appear to be legitimate, add advertising to webpages, change user settings, and more. Every week between 3 and 5 new Cross Site Scripting exploits are discovered, each using a different method and affecting the victim in a different way. All major websites including Yahoo, Paypal, Ebay, CNN, Microsoft, and even FBI.com have been subject to successful XSS attacks. As Cross Site Scripting is not dependent upon unencrypted connections, secure websites(those that display a lock icon in the browser) are as vulnerable to XSS as any other website.
To avoid falling victim to Cross Site Scripting attacks, different strategies must be taken. Always make sure that you are using a secure web browser. While web browsers such as Firefox and Operaare deemed relatively secure from attacks that attack your operating system, they are not 100% safe from XSS attacks that rely upon malformed HTML. Browsers such as Internet Explorer are known as being overly vulnerable, and expose the operating system to intrusion. Also, never follow a URL from an email, even from people that you trust. Always type the address of the website you intend to visit from the address bar of your web browser. If you do notice that a link that you click opens the webpage in Internet Explorer instead of Firefox, close the window immediately and change your password to the site you just visited. Attackers try to force links to open in Internet Explorer to take advantage of its weaknesses.

XSS هو اختصار ل الصليب برمجة الموقع . وهذا يشير إلى نوع من ثغرة أمنية الكمبيوتر حيث يمكن للمستخدمين إضافة تعليقات الخبيثة التي شيدت بعناية في صفحات الإنترنت بقصد خداع متصفحات الويب . في حين أن معظم المواقع لديها مرشحات لتحديد متى يتم إجراء آخر يحتوي على التعليمات البرمجية XSS ، فمن شبه المستحيل لتصفية جميع أنواع مختلفة من هجمات محتملة . وبالتالي ، أي ما يقرب من الموقع الذي يسمح للمستخدمين للتعليق هو عرضة لل هجمات البرمجة عبر الموقع .
في حين غالبا ما تتم يستغل الصليب برمجة الموقع للمتعة ساذجة إنشاء بالنوافذ جافا سكريبت على صفحات الويب الشعبية مثل المقالات الإخبارية ، ويمكن أيضا أن تكون هجمات XSS ناقلات في هجمات أكثر خطورة مثل التصيد . عادة ، يتم سرقة معلومات ملف تعريف الارتباط عن طريق XSS . وهذا يسمح للمهاجمين الوصول إلى المستخدمين حسابات على مواقع تحت الهجوم. بالإضافة إلى ذلك ، يمكن لل مهاجمين تغيير صفحات الويب ل تصل إلى مواقع الويب الخبيثة التي تبدو وكأنها مشروعة، إضافة إلى الإعلان عن صفحات الويب ، وتغيير إعدادات المستخدم ، و أكثر من ذلك. يتم اكتشافها كل أسبوع ما بين 3 و 5 يستغل الصليب برمجة الموقع الجديد ، كل باستخدام طريقة مختلفة و تؤثر على الضحية بطريقة مختلفة . وكانت جميع المواقع الرئيسية بما في ذلك ياهو، باي بال ، باي ، سي إن إن ، ومايكروسوفت، وحتى FBI.com عرضة لهجمات XSS ناجحة. كما عبر برمجة الموقع لا يعتمد على اتصالات غير مشفرة ، والمواقع الآمنة ( تلك التي عرض رمز القفل في المتصفح) عرضة ل XSS مثل أي موقع آخر .
XSS شعار
لتجنب الوقوع ضحية للهجمات البرمجة عبر الموقع ، يجب اتخاذ استراتيجيات مختلفة . دائما التأكد من أنك تستخدم متصفح ويب آمنة . في حين تعتبر متصفحات الويب مثل فايرفوكس وأوبرا آمنة نسبيا من هجمات التي تهاجم نظام التشغيل الخاص بك ، فهي ليست آمنة 100٪ من هجمات XSS التي تعتمد على تالف HTML. ومن المعروف المتصفحات مثل إنترنت إكسبلورر بأنها عرضة بشكل مفرط ، وفضح نظام التشغيل إلى التسلل. أيضا ، لم تتبع URL من رسالة بريد إلكتروني، حتى من الناس أن تثق به. اكتب دائما عنوان موقع الويب الذي تنوي زيارته من شريط العنوان في متصفح الويب الخاص بك . إذا لم تلاحظ أن الارتباط الذي يفتح النقر فوق صفحة ويب في Internet Explorer بدلا من فايرفوكس ، أغلق نافذة فورا و تغيير كلمة المرور الخاصة بك إلى الموقع الذي زرته مباشرة . المهاجمين في محاولة لاجبار الروابط لفتح في Internet Explorer للاستفادة من نقاط ضعفها.


مرسلة بواسطة في 12:13 م
شباب اليوم

كاتب الموضوع : شباب اليوم

اجعل مدونتك افضل مدونة مع التصاميم المجانية و الاضافات الجديدة و الدعم الفني المجاني فقط على منتديات شباب اليوم

شارك :

0 التعليقات:

إرسال تعليق

الاشتراك في: تعليقات الرسالة (Atom)