Cross-Site Scripting
این نوع حمله خیلی مشابه به حملات تزریق اسکریپت است و در مواقعی اتفاق میافتد که کد اسکریپت توسط صفحات پویای وب سایر سایتها در مرورگر وب وارد شود. در این نوع حملات، هدف هکر خود سایت نیست، بلکه کاربران آن مد نظر میباشند. فرض کنید که یک سایت عبارات جستجو را با استفاده از مجموعه QueryString (در صورتی که برنامه با استفاده از فناوری .NET توسعه داده شده باشد) و از طریق متد HTTP Get دریافت میکند، و سایر سایتها میتوانند عبارات جستجو را با عبارت پرس و جوس Search ارسال کنند.
YourSite.com?Search=asp.netصفحه جستجو رشته پرس و جو را خوانده و در پایگاه داده به دنبال عبارت مورد نظر میگردد و در نهایت نتیجه جستجو را نمایش میدهد. در صورتی که دادهای متناسب با عبارت مورد نظر در پایگاه داده وجود نداشته باشد، پیامی مبنی بر یافت نشدن جواب تولید و نمایش داده خواهد شد.
در صفحه جستجو قالبی کدهای زیر وجود دارند:
void Page_load(Object Src,EventArgs E)
{
String sSearchStr=””;
NameValueCollection ColQstr = Request.QueryString;
String[] qStrAry = colQstr.AllKeys;
for (int i = 0; i<= qStrAry.GetUpperBound(0); i++) { if (qStrAry[i] == “search”) { String[] qStrAry = colQstr.AllKeys; for (int j = 0; j<=qStrAryVal.GetUpperBound(0); j++) { sSearchStr = qStrAryVal[j]; break; } } } if (sSearchStr.Trim() != “”) { if (SearchDataStore(sSearchStr) == false) lblResult.Text = “The search keyword ” + sSearchStr + ” did not produce any results. Please try again.”; } } bool SearchDataStore(String sSearchStr) { /*Perform the search against the datastore and display the result. if there are no results then return false.*/ return false; } رویداد Page_Load پارامتر Search را در QueryString خوانده و مقدار آن را بازیابی میکند. سپس با فراخوانی متد SearchDataStore اقدام به بازیابی نتایج رشته جستجو مینماید. در صورتی که موردی در پایگاه داده یافت نشد مقدار بازگشتی این متد false خواهد بود. بعد از این فرایند رویداد Page_Load نتایج جستجو را نمایش میدهد (اگر بازگشتی متد true باشد رکوردهای یافت شده و در صورتی که false باشد پیغام خطای مناسب). تا اینجا همه چیز روال عادی خود را طی میکند. حال فرض کنید یک کاربر و یا سایتی دیگر عبارت زیر را تایپ نماید: Process.Aspx?Search=alert(CSS Attack); رویداد Page_Load رشته پرس و جو را پردازش نموده و پیام زیر را نمایش میدهد:
به طریق مشابه، کاربر میتواند متن زیر را وارد نماید:
با کلیک لینک توسط کاربر، کنترل مرورگر به یک سایت دیگر منتقل میشود و تمام اطلاعات cookie های سایت اصلی در پنجره alert نمایش داده میشود. کد JavaScript از داخل حاشیه امنیتی دامنه فعلی اجرا میشود و بنابراین کدهایی قابل اجرا هستند که از خارج قابل اجرا شدن نیستند.
به طریق مشابه امکان ارسال اطلاعات Cookie به یک سرور دیگر نیز وجود دارد.
نوع دیگری از حملاتی که به این شیوه قابل انجام است بسیار پیشرفتهتر است. فرض کنید یک سایت اطلاعات موجود در وب در مورد فناوری را جمعآوری نموده و در اختیار کاربران خود قرار میدهد. در این سایت امکانی فراهم آمده است که کاربران میتوانند آخرین اخباری را که از نظرشان جالب و مناسب سایت است را وارد نمایند. در صورتی که هیچ گونه اعتبارسنجی بر روی داده ورودی انجام نشود، با وارد شدن اطلاعات توسط کاربر، سیستم آن را در پایگاه داده خود ذخیره نموده و پیشنمایشی از آن را ارائه میدهد.
در این ساختار راه نفوذ برای هکرها باز است و میتوانند با وارد کردن متنی مانند زیر به اهداف خرابکارانه خود برسند:
News: Here is a Cross-Site Script Attack
URL: www.SomeSite.com/default.aspx?ID=
اگر برنامه بدون اعتبار سنجی URL، آن را پذیرفته و در پایگاه داده وارد کند سایت و بینندگان آن در معرض حملات Cross-site قرار میگیرند. اگر متن اسکریپتی که وارد شده است مستقیما وارد پایگاه داده شده و از این پس به صورت هفتگی برای مشترکین ارسال شود، نتایج زیان باری حاصل میشود. هر کس که بر روی لینک خبر کلیک کند آدرس URL را در مرورگر خود مشاهده خواهد کرد و جاوا اسکریپت بیان شده در SRC نشانه script اجرا میشود.
نمونه دیگری از این نوع حملات به این صورت انجام میشود که هکر به جای استفاده از متن به فرمت ASCII یا Unicode از کد حروف hex استفاده مینماید.
News: Here is a Croos-Site Script Attack
URL: http://77%2077%2077%202e%2053%206f%206d%2065%2073%2069%2074%2065%20
2e%2063%206f%206d/default.aspx?3c%2053%2063%2072%2069%2070%2074%2020%20
73%2072%2063%203d%2092%2044%206f%2053%2074%2075%2066%2066%202e%20
4a%2073%2092%203e%203c%202f%2053%2063%2072%2069%2070%2074%203e
حروف فوق در قالب ASCII معادل
News: Here is a Cross-Site Script Attack
URL: www.SomeSite.com/default.aspx?ID=
میباشند.
با مشاهده موارد فوق مشخص میشود که اعتبار سنجی دادهها در زمان ورود اهمیت فوقالعادهای دارد. اسکریپتی که در URL ارائه میگردد میتواند اعمال بسیار خطرناکی را انجام دهد که بستگی به قابلیتهای زبان اسکریپتنویسی دارد. این اعمال شامل موارد زیر میباشند:
· ممکن است دادهها تحریف شوند، به عنوان مثال ممکن است محتویات یک cookie تغییر یابد.
· یکپارچگی اطلاعات به خطر افتد.
· اسکریپتهایی با اهداف خرابکارانه در محیط سایتهای مطمئن اجرا شوند.
· Cookie ها مقدار دهی شده و یا اطلاعات آنها خوانده شود.
· ورودیهای کاربران مورد استراق سمع واقع شود.
· کاربران به سایتهایی نامطمئن هدایت شوند.
منبع: مرکز امداد امنیت کامپوتر ایران