सायबर सुरक्षा: Cross site scripting (XSS) attacks म्हणजे काय ?

परावर्तित XSS मध्ये वापरकर्त्याच्या ब्राउझरवर वेब ऍप्लिकेशनच्या बाहेर दुर्भावनापूर्ण स्क्रिप्ट प्रतिबिंबित करणे समाविष्ट असते. स्क्रिप्ट एका दुव्यामध्ये एम्बेड केलेली आहे, आणि एकदा त्या लिंकवर क्लिक केल्यानंतर ती सक्रिय केली जाते.Cross site scripting (XSS) हा एक सामान्य अटॅक वेक्टर आहे जो दुर्भावनायुक्त कोड एका असुरक्षित वेब ऍप्लिकेशनमध्ये इंजेक्ट करतो. XSS हे इतर वेब अटॅक वेक्टर (उदा. SQL इंजेक्शन) पेक्षा वेगळे आहे, ज्यामध्ये ते थेट ऍप्लिकेशनला लक्ष्य करत नाही. त्याऐवजी, वेब अनुप्रयोगाच्या वापरकर्त्यांना धोका आहे.

सायबर सुरक्षा: Cross site scripting (XSS) attacks म्हणजे काय ? – एक यशस्वी क्रॉस साइट स्क्रिप्टिंग हल्ला ऑनलाइन व्यवसायाच्या प्रतिष्ठेवर आणि त्याच्या क्लायंटशी असलेल्या संबंधांवर विनाशकारी परिणाम करू शकतो.

• हल्ल्याच्या तीव्रतेनुसार, वापरकर्त्यांच्या खात्यांशी तडजोड केली जाऊ शकते, ट्रोजन हॉर्स प्रोग्राम सक्रिय केले जाऊ शकतात आणि पृष्ठ सामग्री सुधारित केली जाऊ शकते, वापरकर्त्यांना त्यांचा खाजगी डेटा स्वेच्छेने समर्पण करण्यास दिशाभूल करते.
• शेवटी, सत्र कुकीज उघड केल्या जाऊ शकतात, ज्यामुळे गुन्हेगाराला वैध वापरकर्त्यांची तोतयागिरी करण्यास आणि त्यांच्या खाजगी खात्यांचा गैरवापर करण्यास सक्षम करते.

• क्रॉस साइट स्क्रिप्टिंग हल्ले दोन प्रकारांमध्ये विभागले जाऊ शकतात: संग्रहित आणि प्रतिबिंबित.

• संग्रहित XSS, ज्याला पर्सिस्टंट XSS म्हणूनही ओळखले जाते, हे या दोघांपैकी अधिक नुकसानकारक आहे.
• दुर्भावनायुक्त स्क्रिप्ट थेट असुरक्षित वेब ऍप्लिकेशनमध्ये इंजेक्ट केल्यावर असे होते.

• परावर्तित XSS मध्ये वापरकर्त्याच्या ब्राउझरवर वेब ऍप्लिकेशनच्या बाहेर दुर्भावनापूर्ण स्क्रिप्ट प्रतिबिंबित करणे समाविष्ट असते.
• स्क्रिप्ट एका दुव्यामध्ये एम्बेड केलेली आहे, आणि एकदा त्या लिंकवर क्लिक केल्यानंतर ती सक्रिय केली जाते.

XSS हल्ल्यांचे 3 प्रकार कोणते आहेत?

Cross-site scripting भेद्यतेच्या तीन मुख्य श्रेणी आहेत: संग्रहित XSS, प्रतिबिंबित XSS आणि दस्तऐवज ऑब्जेक्ट मॉडेल (DOM)-आधारित XSS.

• Stored XSS :

1. Stored XSS हल्ल्यांना पर्सिस्टंट XSS देखील म्हणतात.
2. क्रॉस-साइट स्क्रिप्टिंग हल्ल्याचा हा सर्वात हानीकारक प्रकार आहे.
3. हल्लेखोर एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करतो, ज्याला पेलोड देखील म्हणतात. पेलोड टार्गेट ऍप्लिकेशनवर कायमस्वरूपी साठवले जाते, जसे की डेटाबेस, ब्लॉग, मेसेज बोर्ड, फोरम पोस्टमध्ये किंवा टिप्पणी फील्डमध्ये.

जेव्हा पीडित ब्राउझरमधील प्रभावित वेबपृष्ठावर नेव्हिगेट करतात तेव्हा XSS पेलोड वेबपृष्ठाचा भाग म्हणून सर्व्ह केला जातो. एकदा पीडितांनी ब्राउझरमध्ये पृष्ठ पाहिल्यानंतर, ते अनवधानाने दुर्भावनापूर्ण स्क्रिप्ट कार्यान्वित करतील.

• Reflected XSS :

1. reflected XSS हा क्रॉस-साइट स्क्रिप्टिंग भेद्यतेचा सर्वात सामान्य प्रकार आहे. या प्रकारच्या हल्ल्यात, हल्लेखोराने पीडिताला पेलोड वितरित करणे आवश्यक आहे.
2. XSS पेलोड स्क्रिप्ट समाविष्ट असलेल्या वेब सर्व्हरला अनवधानाने विनंती करण्यासाठी पीडितांना प्रलोभन देण्यासाठी हल्लेखोर फिशिंग आणि इतर सामाजिक अभियांत्रिकी पद्धती वापरतो.
3. हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल रिस्पॉन्स जो परत reflected होतो त्यात HTTP विनंतीचे पेलोड समाविष्ट असते.
4. नंतर पीडित स्क्रिप्ट कार्यान्वित करतो जी ब्राउझरमध्ये प्रतिबिंबित होते आणि कार्यान्वित होते.
5. reflected XSS हा सततचा हल्ला नसल्यामुळे, आक्रमणकर्त्याने प्रत्येक पीडिताला पेलोड वितरित करणे आवश्यक आहे.

• DOM-based XSS :

1. जेव्हा वेब ऍप्लिकेशनच्या क्लायंट-साइड स्क्रिप्टने DOM ला वापरकर्ता-प्रदान केलेला डेटा लिहितो तेव्हा DOM-आधारित हल्ले हे शक्य झाले.
2. वेब ऍप्लिकेशन DOM कडील डेटा वाचतो आणि तो ब्राउझरला वितरित करतो.
3. डेटा योग्यरित्या हाताळला नसल्यास, आक्रमणकर्ता पेलोड इंजेक्ट करण्यास सक्षम आहे जो DOM चा भाग म्हणून संग्रहित केला जाईल.
4. जेव्हा DOM वरून डेटा परत वाचला जातो तेव्हा पेलोड कार्यान्वित केला जातो.

Cross site scripting कसे कार्य करते?

• XSS इतर इंजेक्शन हल्ल्यांसारखे आहे, जसे की स्ट्रक्चर्ड क्वेरी लँग्वेज इंजेक्शन.
• वैध मार्कअप आणि दुर्भावनापूर्ण मार्कअप वेगळे करण्यात ब्राउझरच्या अक्षमतेचा फायदा घेते.
• त्यांना प्राप्त झालेला कोणताही मार्कअप मजकूर ते कार्यान्वित करतात आणि विनंती करणार्‍या वापरकर्त्यांना ते वितरित करतात.

XSS हल्ले समान उत्पत्ति धोरणास अडथळा आणतात. SOP हा एक सुरक्षितता उपाय आहे जो एका वेबसाइटवर उद्भवणाऱ्या स्क्रिप्टला वेगळ्या वेबसाइटवरील स्क्रिप्टशी संवाद साधण्यापासून प्रतिबंधित करतो.

• SOP अंतर्गत, वेबपृष्ठावरील सर्व सामग्री एकाच स्त्रोताकडून येणे आवश्यक आहे.
• जेव्हा धोरणाची अंमलबजावणी केली जात नाही, तेव्हा दुर्भावनापूर्ण अभिनेते स्क्रिप्ट इंजेक्ट करू शकतात आणि त्यांच्या स्वतःच्या हेतूंसाठी वेबपृष्ठ सुधारित करू शकतात.
• उदाहरणार्थ, आक्रमणकर्ते डेटा काढू शकतात ज्यामुळे ते प्रमाणित वापरकर्त्याची तोतयागिरी करू शकतात किंवा ब्राउझर कार्यान्वित करण्यासाठी दुर्भावनायुक्त कोड इनपुट करू शकतात.

XSS शोषणासह, आक्रमणकर्ता सत्र कुकीज चोरू शकतो आणि नंतर वापरकर्ता (बळी) असल्याचे भासवू शकतो.

• पण हे फक्त कुकीज चोरणे नाही; आक्रमणकर्ते XSS चा वापर मालवेअर पसरवण्यासाठी, वेबसाइट्स खराब करण्यासाठी, सोशल नेटवर्क्सवर कहर निर्माण करण्यासाठी, क्रेडेन्शियल्ससाठी फिश आणि, सोशल इंजिनिअरिंग तंत्राच्या संयोगाने, अधिक हानीकारक हल्ले करण्यासाठी करू शकतात.

तुम्ही XSS भेद्यतेची चाचणी कशी करता?

जेव्हा वेबसाइट क्लायंटकडे परत विनंत्यांमधून अप्रमाणित इनपुट पास करते तेव्हा ती XSS साठी असुरक्षित असते.

वेब स्कॅनिंग टूल्सचा वापर वेबसाइट किंवा ऍप्लिकेशनच्या भेद्यतेची चाचणी करण्यासाठी केला जाऊ शकतो.

ही साधने वेब ऍप्लिकेशनमध्ये स्क्रिप्ट इंजेक्ट करतात — उदाहरणार्थ, GET किंवा POST व्हेरिएबल्स, URL, कुकीज आणि इतर कोड ज्यामध्ये क्रॉस-स्क्रिप्टिंग हल्ला होऊ शकतो.

• जर टूल त्या प्रकारची माहिती वेबपेजमध्ये इंजेक्ट करू शकत असेल, तर साइट XSS साठी असुरक्षित आहे.
• हे टूल वापरकर्त्याला भेद्यतेबद्दल आणि ते शोधण्यासाठी इंजेक्ट केलेल्या स्क्रिप्टबद्दल सूचित करते.

खालील चरणांसह XSS भेद्यतेसाठी व्यक्तिचलितपणे चाचणी करणे देखील शक्य आहे:

1. Find input vectors: यामध्ये सर्व ऍप्लिकेशनचे वापरकर्ता-परिभाषित इनपुट निर्धारित करणे समाविष्ट आहे. हे पूर्ण करण्यासाठी इन-ब्राउझर HTML संपादक किंवा वेब प्रॉक्सी वापरल्या जाऊ शकतात.
2. Analyze input vectors: विशिष्ट इनपुट डेटा ब्राउझरकडून प्रतिसाद ट्रिगर करतो जे भेद्यता दर्शवतात. ओपन वेब ऍप्लिकेशन सिक्युरिटी प्रोजेक्ट (OWASP) चाचणी इनपुट डेटाची सूची प्रदान करते.
3. Check the impact of test input: परीक्षकाने त्यांनी निवडलेल्या इनपुटच्या परिणामांचे विश्लेषण केले पाहिजे आणि शोधलेल्या भेद्यता अनुप्रयोगाच्या सुरक्षिततेवर परिणाम करतील की नाही हे निर्धारित केले पाहिजे. परीक्षकाने HTML विशेष वर्ण ओळखले पाहिजेत जे असुरक्षा निर्माण करतात जे बदलले जाणे आवश्यक आहे किंवा अन्यथा फिल्टर किंवा काढले जाणे आवश्यक आहे.

XSS चा प्रभाव काय आहे?

Cross site scripting शोषणाचा वेबसाइटवर किती प्रमाणात परिणाम होतो हे अॅप्लिकेशन किंवा आक्रमण केलेल्या साइटवर तसेच डेटा आणि तडजोड केलेल्या वापरकर्त्यावर अवलंबून असते.

XSS हल्ल्याच्या संभाव्य प्रभावाबद्दल खालील गोष्टी सामान्यतः सत्य आहेत:

• संवेदनशील डेटा, जसे की बँक व्यवहार आणि आरोग्य सेवा नोंदी यांचा समावेश असल्यास, परिणाम गंभीर असू शकतो.
• एखाद्या ऍप्लिकेशनमध्ये तडजोड केलेल्या वापरकर्त्याचे विशेषाधिकार जितके जास्त असतील तितके आक्रमणाचा प्रभाव अधिक गंभीर होण्याची शक्यता आहे.
• वापरकर्त्यांनी संवेदनशील, वैयक्तिकरित्या ओळखण्यायोग्य माहिती इनपुट केल्यास, परिणाम गंभीर असू शकतो.

Cross site scripting संपूर्ण संस्थेला देखील प्रभावित करू शकते. उदाहरणार्थ, एखादी ई-कॉमर्स वेबसाइट XSS हल्ल्याचे मूळ असल्याचे आढळल्यास, ते कंपनीची प्रतिष्ठा आणि ग्राहकांच्या विश्वासाला हानी पोहोचवू शकते.

सायबर सुरक्षा: Cross site scripting (XSS) attacks म्हणजे काय ?

सायबर सुरक्षा: SQL Injection attack म्हणजे काय ?