1-Amaliy: Mamlakatimizda axborot xavfsizligiga oid qonunlar bilan tanishish
Download 0.57 Mb.
|
- Bu sahifa navigatsiya:
- "XSS" hujumdan himoyalanish
- 12-Amaliy: CSRF xujum
|
"XSS" qanday ishlaydi ?
Bunday qisqa nom qayerdan kelib chiqqani haqida bilib oldik, endi siz bilan XSS qanday ishlashini tahlil qiladigan bo'lsak, XSS bu maxsus kodlarning sayt foydalanuvchilari tarafiga joylashtirilishi va ishga tushurilishidir. Foydalanuvchilar tomonda maxsus kodlarni ishga tushurishning bir necha yo'llari mavjud. Maxsus kodni serverga yuborib sayt fayllariga ulab qo'yish yoki uslub ishlashi mumkin bo'lgan sayt formalari orqali. Masalan saytda izohlar qoldirish mumkin bo'lgan sahifada izoh sifatida qoldirish va qachonki ushbu sahifani yangi foydalanuvchilar yuklaganda ushbu kodni ishga tushadigan qilish mumkin ekan. Ikkinchi uslub sifatida nishondagi foydalanuvchiga malum bir script fayliga havola yuborish va kiyinchalik ushbu script ichidan turib istalgan amalni bajarishi mumkin. Bunday hujumlardan asosiy maqsad foydalanuvchilarning cockie saqlamalarini o'g'irlashdir. "XSS" hujumdan himoyalanish Albatta XSS haqida barcha narsani tushunib oldik, ammo bunday qoyilmaqom hujumdan o'zimizni va saytimizni qanday qilib himoya qilamiz ? Agarda sizning saytingiz bo'lsa, avvalam bor serverga qadar borishi mumkin bo'lgan har qanday ma'lumotni filterlashimiz lozim, Bundan tashqari havolalar haqida gapiradigan bo'lsak, etibor bering siz 10 lab yillardan buyon foydalanadigan ishonchli saytlarda ham qora niyatli kimsalar tomonidan joylashtirilgan maxsus havolalar joylashtirilgan bo'lishi mumkin. 12-Amaliy: CSRF xujum Saytlararo so'rovlarni qalbakilashtirish (CSRF) - bu qurbonni aldab, veb-saytga ko'zda tutilmagan so'rov yuborishni o'z ichiga olgan hujum turi. Hujum foydalanuvchining veb-sayt bilan allaqachon autentifikatsiya qilingan sessiyasidan foydalanish orqali veb-saytning foydalanuvchi brauzeriga bo'lgan ishonchidan foydalanadi. CSRF hujumlarini qanday amalga oshirish mumkinligiga bir nechta misollar: Tasdiqlanmagan so'rovlar: Zararli veb-sayt jabrlanuvchining brauzeriga tasdiqlanmagan so'rovlar yuborishi mumkin va uni aldab, jabrlanuvchi allaqachon tizimga kirgan veb-saytda ko'zda tutilmagan harakatlarni amalga oshirishi mumkin. Zararli havolalar yoki shakllarni yuborish: Zararli veb-sayt jabrlanuvchiga havola yuborishi yoki bosilganda yoki yuborilganda jabrlanuvchi allaqachon tizimga kirgan boshqa veb-saytga so‘rov yuboradigan shaklni yuborishi mumkin. Rasm teglari va JavaScript: Zararli veb-sayt jabrlanuvchi allaqachon tizimga kirgan veb-saytga so'rov yuborish uchun HTML tasvir yorlig'i yoki JavaScript-dan foydalanishi mumkin va jabrlanuvchi nomidan ko'zda tutilmagan harakatlarni amalga oshiradi. CSRF hujumlarining oldini olish uchun CSRF token tizimini joriy qilish muhim, bu har bir foydalanuvchi sessiyasi uchun yaratilgan va foydalanuvchi tomonidan qilingan har bir shakl yoki so'rovga qo'shiladigan noyob token, shu tarzda so'rov yuborilganda server tekshirishi mumkin. agar token haqiqiy bo'lsa va joriy sessiyaga tegishli bo'lsa. Bundan tashqari, serverga qilingan har qanday so'rovlar qonuniy va foydalanuvchi tomonidan mo'ljallanganligiga ishonch hosil qilish uchun ularni tasdiqlash muhimdir. Shuningdek, SameSite cookie-fayl atributidan foydalanish yaxshi amaliyot bo‘lib, u cookie-fayllarni saytlararo so‘rovlar bilan birga yuborilishining oldini oladi va shu bilan hujumdan qochadi, va har doimgidek, ma'lum zaifliklardan himoyalanish uchun barcha dasturiy ta'minotni yangilab turish muhimdir. Download 0.57 Mb. Do'stlaringiz bilan baham: 
|