ما هي ثغرات xml و كيفية حماية موقعك من ثغرات XSS

سنتطرق اليوم الى معرفة طرق حمياة المواقع من ثغرات XSS
قبل اي شئ ف البرمجة من اكثر المجالات خطراً
فربما تكون قد برمجت موقع عظيم و به العديد من المستخدمين و البيانات الهامة
لكن يأتي لك هكر يخترق هذا الموقع و يدمر مشروعك بالكامل او يسرق بعض البيانات فكيف تحمي موقعك؟

ما هي ثغرة xml ؟

قبل اي شئ ثغرات xml او Cross Site Scripting هي ثغرات امنية في المواقع الالكترونية
يقوم المهاجم بتمرير او حقن بعض الاوامر البرمجية من خلال لغة javascript
و نتيجة الى ذلك يقوم المتصفح بتنفيز تلك الأوامر المحقونة

انواع ثغرات XSS


ثغرات xml غير ثابتة

هو النوع الأكثر انتشار بين ثغرات xss لكن لا تقلق فانه النوع الأقل ضرر
لانها غير مخزنة في قواعد البيانات حيث تقوم على الادخال الخاص
لذلك لا تؤثر هذه الهجمات على المستخدمين العاديين
لان ما يقوم به المهاجم لا يتم تخزينه على قاعدة البيانات
لذلك فهو يقوم باستهداف اشخاص او مستخدمين معينين فقط و يقتصر الضرر عليهم.

ثغرات xml الثابتة

قبل اي شئ ف هذا النوع يعتبر من اخطر انواع الثغرات
ذلك لان ما يقوم به المهاجم يتم تخزينه في قاعدة البيانات
و نتيجة الى ذلك ف تلك الهجمات تؤثر على جميع المستخدمين

ثغرات Dom-Based XSS

هذه الثغرة خطيرة جداً حيث تكون مبينة على الـ DOM في الجافاسكريبت
و تكمن خطورتها في الانواع التي يتم تخزينها في قاعدة البيانات
لذلك فان هذه الثغرة يمكنها الوصول لبيانات المستخدمين في قاعدة البيانات
و من ضمن المستخدمين مدير الموقع نفسه
لذلك يمكن للمهاجم التحكم الكامل في الموقع
فيمكنه تشويهه او حذفه او حتى سرقة الموقع بشكل كامل

كيفية الحماية من ثغرات xml؟

  1. تفعيل خاصية httponly
    هذه الميزة تمنح المتصفح القدرة على ان ينتبه للهجمات و لن يمنح السكريبت المهاجم الـ cookies الخاصة بك.
  2. التأكد من الترميز
    تأكد بأن ترميز الحروف في الصفحة هو ما يتطلبه (Character Encoding) في حالة الترميز صحیح سيتعرف المتصفح ما اذا كانت الحروف التي يتم عرضها يرمز اليها بشكل معين او لا
  3. فحص الـ input
    يجب التأكد من المدخلات التي يقوم المستخدم بادخالها الى قاعدة البيانات
    فأولاً عند برمجة الموقع يجب ان تضع في حسبانك جميع الاحتملات الممكنة
    لذلك يجب ان تمنع المستخدم من ادخال اي بينات غير مطلوبة
    ثانياً الفحص المستمر للمدخلات و تطهيرها من اي كود غريب.
  4. جدار حماية تطبيق الويب WAF
    هو جدار حماية قوي يقوم بمراقبة و فحص حركة مرور الـ HTTP من وإلى خدمة الويب و يستطيع منع الهجمات الضارة.

أضرار ثغرات XSS

تعتدم ثغرات XSS في الاساس على الـ input المدخلات التي يدخلها المهاجم
لذلك فتأمينك للمدخلات هو حجر الاساس لمنع هذه الثغرة
لكن اذا استطاع المهاجم ايجاد ثغرة فما هي الاضرار التي يمكن ان تحدث؟
يمكن للمهاجم الوصول الى بيانات المستخدمين و التحكم فيها او سرقتها
كذلك يستطيع تمرير برامج خبيثة الى المستخدمين مما يلحق بالضرر عليهم
بل و يمكنه التحكم في الموقع بشكل كامل
حيث يستطيع وضع تصميمه الخاص
كذلك يستطيع حذف مستخدمين او حذف الموقع بالكامل او سرقته

مقالات مشابهة

تعليق واحد

اترك ردّاً