se test görmek için bu cross-site scripting veya duyarlıdır. O malware bir sürü var bulacaksınız ağır kaldırma var bir sürü yapmak için JavaScript kullanıyor, ve bu nedenle cross-site scripting genellikle JavaScript bir çok kullanır. Adından da anlaşılacağı gibi, çok da betik olduğunu generic-- var. Ve komut dosyası gerçekten bir şey olabilir. Ama ne bulduğumuz JavaScript sırt adamlar eğilimi bizim tarayıcılarında çok güçlü o çünkü JavaScript yönelmeye Onlar için bir çok şey yapmak mümkün. Eğer varsa ve JavaScript açık muh

temelen büyük miktarda duyarlı ve cross-site scripting açıkları ve orada olan saldırılar. Bu sadece o şeylerden biri nerede Eğer tarayıcınız güncel tutmak zorunda emin web uygulamaları yüzden güncellenir yapmak zorunda Eğer cross-site scripting duyarlı olmadığını. Cross-site scripting iki ana kategoride bulunuyor saldırılar. Biz bahsedeceğiz ilki, bizim kalıcı olmayan siteler arası scripting saldırıları, aynı zamanda duyabilirsiniz Bu yansıyan cross-site scripting saldırıları olarak adlandırılır. Bunlar, bir web sayfasının bir parçası değildir saldırılardır Bu saldırılar size e-posta olanlar vardır veya bir bağlantıyı tıklayarak ikna olduğunu Bu saldırının parçası komut dosyasını çalıştırmak için gidiyor. Ve bu güvenlik açıklarından yararlanmak için çalışıyor Örneğin bir arama kutusu gibi şeylere, kullanıcı girişi. Sen kötü adam bir e-posta alırsınız ve onlar söyleyeceğim Bu bağlantıyı tıkladığınızda, burada sizin için bir komik video var, Burada yaklaşık görünmelidir şeyler var. Ve bu bağlantı sizi alacak Bir web sitesine o zaman bu siteler arası komut dosyasını çalıştırır Onlar kullanabileceği bilgi kötü adam sağlar belki hesabınıza erişmek için. Bu yüzden Facebook giriş gerekecek onlar, size finansal hesabınıza giriş gerekecek ve scenes-- arkasında zaten-- gidiyor kimlik bilgilerinizi veya oturum kimlikleri veya bazı kullanıcı göndermek geri kötü adam bilgiler. Ve sonra tabii ki kendi masasından şimdi, hesabınıza erişimi var onlar istiyorum ne yapabilirim. Bu kurbanın tarayıcısında yürütülüyor. Yani onlar aslında, bir web sitesine gidiyoruz ve şimdi bizim için sorun haline gelmektedir tarayıcı, var tam olarak komut çalışıyor kötü adam bize verdi ve tarayıcılar mutlu devrettiğini başkasına bizim kimlik bilgileri. Yani biz ne var istiyorum tam olarak ne değil. Kötü adam senin oturum kimlikleri, çerezleri, bazı varsa Bu gerçekten önemli bir oturum bilgilerinin hesabınıza girmek için kullanabileceğiniz, onlar şimdi bir çok şey yapmak ve yapabilirsiniz bu oldu hiçbir fikrim yok. Bu komut söyledim çünkü tüm perde arkasında ne o, o oturum kimliği kapmak kötü adam onu ​​göndermek için ve şimdi onlar senin bilgilere erişebilir. Cross-site scripting saldırısı, başka tür Kalıcı saldırı veya depolanmış cross-site scripting olduğunu Saldırı. Bu biridir nerede komut dosyası kendisi web sunucusunda saklanır. Kötü adam bilgi göndermek zorunda değildir bunun içinde komut sahip bir e-posta, Onlar bir sosyal ağ üzerinde bir mesaj göndermek için gidiyoruz ya da bir yerde forumda bir mesaj göndermek için gidiyoruz ve bu mesaj, bu mesajın bir parçası olarak bu var Web sitesinde, yazısının bu özel parça sahip oluyor bunun içinde bilgisayarınızı saldırır söyledi. Ve şimdi kalıcı olur. Bu web sitesine gider herkes yükü alır. Bu yüzden pek çok, pek çok, pek çok insanı etkileyen bir iyi bir yoldur hepsi bir kerede. Özel bir hedef var burada, sen değilsin Belirli bir kişiyi e-posta ve çalışıyor Belirli bir kişinin bilgi almak için, o olur bu web sitesine gitmek olur herkes var söz konusu duyarlı bir tarayıcı var cross-site scripting saldırısı. Ve bu bir sosyal ağ sitesi ise, Açıkçası bu sosyal ağ üzerinde pek çok insan vardır siteler ve çok yayılabilir bu forumları, çok hızlı, çok, çok hızlı bir şekilde yayılır edilebilir. Ve biz geçmişte bu bazı çok iyi örnekler gördüm. 2005 yılının Ekim ayında, dördüncü, bir beyefendi adlı Samy Kamkar o Myspace bir yol buldum fark arkadaşı olmaya insanları zorlamak için. Bu yüzden düşündüm bu harika bir yol olacaktır Onun arkadaş listesi oluşturmak için. İnsanları zorlayabilir çünkü arkadaşlar bir sürü olabilir şimdi arkadaş olmak için. Bu yüzden biraz cross-site scripting bilgilerini yazdı ve o çevrimiçi yayınlanmıştır. Yani bu bir kalıcı veya saklı saldırı bu onun Myspace vardı. Ve ne yaptım bir mesaj göndermek oldu O dedi ki, "ama Samy en olduğunu mağdurun profiline benim kahramanım " ve sonra Samy arkadaş olarak onları ekledi. Ve aniden, bir kez, bir arkadaş olarak ekledi o, kendi profiline kalıcı senaryoyu gönderdi aslında bir solucan haline geldi. Gördüm herkes bu komut kopyalanan sahip sona erdi Onların profiline, onların arkadaşları, hepsi bu senaryoyu görünce ve benzeri ve böylece aynı şeyle bulaştı. 20 saat sonra Sammy milyonun üzerinde arkadaşlar vardı ne yazık ki, onun Myspace profilinin bir parçası ve aynı aynı zamanda bir suç vardı. Yani bu ile sorunun bir parçasıdır bu onun sistemini manipüle edildi. Bu bir hack girişimi oldu. Bu Myspace için sorunlar bir sürü neden Bu solucan kontrolden çıkmıştı çünkü. O temelde Myspace servis aşağı getirdi. O bir suç için bir savunma anlaşması sahip bitti. O, üç yıl denetimli serbestlik, 90 gün toplum hizmeti var O Myspace o aslında yapmak zorunda olduğunu iadesi ona-- elinden alınan bir bilgisayar kullanma yeteneği vardı o bütün bir bilgisayar veya ağ cihazı kullanmak olamazdı. Sonunda o ona geri verildi. O kayıt silinir bunun belirli bir parça vardı. Ve şimdi o bir güvenlik araştırmacısı. Sen bazı şeyleri görebilirsiniz YouTube'a çıkabiliriz O girişimcilik ile yapılır. Yani şimdi Samy bizim ağları daha güvenli yapıyor ve ne yazık ki çıktı bu bilgiyi kullanarak Yahoo'da, o şimdi iyiliği için kullanıyor. En pratik örneğe bakalım bir birileri bu cross-site scripting kullanabilirsiniz nasıl yetenek bilgi edinmek için onlar normalde erişebilirsiniz. Sağ önümüzde bu örneği ele alalım. Bu WebGoat denilen şeydir. Bu OWASP gelen bu açık web uygulama güvenliği olduğunu projesi. Sen www.owasp.org için gidip yapabilirsiniz Bu çok hassas web indirebilirsiniz WebGoat denilen ön uç. Size nasıl örnekler bir dizi var Bu kusurları bazı yararlanmak için deneyebilirsiniz. Bu aslında kötü programlanmış web sitesi var. Ve sınamak ve bu güvenlik açıklarından nasıl bazılarını görebilirsiniz Bir web sitesinde etkilenmiş ve bazı farklı şeyler deneyin Kendinizi. Yani bir cross-site scripting sorunu kendimiz deneyelim. En biz bir çalışanın olduğunu söyleyelim. Diyelim ki bu İK departmanı bakarsanız biz olduğunu varsayalım Uygulama, en Tom Cat olduğumu diyelim ve benim kimlik bilgileriyle giriş için gidiyorum. Ve benim kimlik bilgileri, burada biraz aşağı kaydırma eğer, Sen benim profil bakmak yeteneğine sahip olduğunu görebilirsiniz. Ve HR profil, ismimi var benim sokak adresi vardır bunun içinde diğer bilgileri alır. Ama herkesin profiline erişmek istediğiniz ve biliyorum ki İK departmanının sorumlu kişi Herkesin profiline erişimi var. Ve profilinizin içinde İnsanların maaş görebilirsiniz ne onlar kredi kartı bilgileri alabilirsiniz yapmak. Böylece belirli İK hesabı olan biz normalde bize bilgi elde olabilir erişimi olmazdı, ve muhtemelen erişimi olmamalıdır için. Peki, biz ne için gidiyoruz ne embed alır Sağ kendi profilinde bir cross-site scripting saldırısı. Belki belki sadece ettik, hatta Tom değilim Tom'un profiline erişim kazandı. Ben bir atlama noktası olarak onun profilini kullanmak gerekir. Yani bu profili düzenlemek için gidiyorum ve burada sokak adresi ben Burada bazı ek metin eklemek için gidiyoruz ve ben buraya koymak ve bir JavaScript oluşturmak için gidiyorum. Burada bir senaryo yazacağım, ve ben, bir uyarı yapmak komut dosyası içinde gidiyorum ve uyarı içimde bir oturum kimliği koyacaktım ve iç değilim Bunun ben de bu soracağım Çerez bilgi ekleyin. Ve belgede, çerez. Ve JavaScript-- içinde o yolu Eğer bazı ek cookie eklemek olacağını information-- ve ben orada komut gidiyorum. Yani temelde JavaScript biraz üzerinde ekledik Bu özel formda bu alanlardan birinin içinde. Muhtemelen çalışma olmamalı, Bu formu bana bunu izin vermemelidir. Ama bu profil güncellemek için gidiyorum. Aslında bu profil, size çalıştığında oturum kimliği bilgileri burada görebilirsiniz. Biz oturum gaspına bahsediyor bir sonraki video var bilgi ve nasıl bu özel parça bilgi çok, çok değerli bir parçasıdır. Peki bu iyi şimdi içimde gömülü ettik Benim profil. Yani dışarı oturum açmak için gidiyorum. Şimdi HR sorumlu adam bir mesaj göndermek için gidiyorum bölüm ve benim profil bakmak olabilir diyorum? Ben onunla bir sorun olabilir düşünüyorum. Bir göz atın, ben bir sorun olduğunu düşünüyorum. Sonra Peki kim çalışanı olabilir, Tom geliyor eğer ya da, bir çalışanın olabilir kim Tom geliyor gibi görünüyor o gerçekten bir şey olabilir onun profil Tamam emin ilginizi çekebilir. Bu yüzden Jerry olarak giriş edeceğiz. Ben orada doğru bir giriş adı var sanmıyorum. Yani biz şimdi İK adam olarak oturum ediyoruz. İK adam yeteneğine sahiptir dikkat Tom Cat Jerry Mouse ve Joanne McDougal en bakmak bilgiler. Bu yüzden bana fazla bilgi kullanılabilir olması. Ama Tom bana dedi bir e-posta gönderdi O, onun profili ile sorunlarınız var en Tom'un adına tıklayın edelim. Ben profilini görmek için gidiyorum. Bu komut dosyasını çalıştırır ve İK sorumlusu olarak çalışır, o Jerry olarak çalışır. Ben kötü bir adam yerine ise oturum kimliği görüntülenir Bu oturum kimliği görüntüleme, bana göndermek istiyorum. Ve ben şu anda oturum açmış kimin oturum kimliği varsa, Ben esasen onları taklit olabilir doğrudan web sunucusuna. Web sunucusu oturum kimliği kullandığı giriş kim belirler bilgilerin bir parçası olarak. Yani Jerry'nin kullanıcı adı ve parolaya ihtiyacınız olmaz Bu noktada onun oturumu kaçırmak için ve tüm bilgileri görmek mümkün O erişime olabileceğini söyledi. Tüm Tom'un hesabı içinde senaryonun biraz ekerek şimdi Jerry görebiliyorum her şeyi görebilirsiniz. Cross-site scripting korunmak için biz sadece her zaman akılda tutulması gereken birkaç şey var. Bir e-posta içinde linklere tıklayınız kalmamasıdır. Ben tekrar tekrar söylemek ve bir şey Bu hemen hemen herkesin düşünmek gerekir. Genellikle e-postadaki bir bağlantı olmalı gidiyor Bağlantı meşru olsa bile sadece gerektiği Bu bilgiyi almak için en iyi uygulamayı olmak, Bir tarayıcı gitmek elle yazın ve siteye gitmek Eğer gitmek gerekir. Ayrıca JavaScript devre dışı düşünebilirsiniz ya da sadece güvendiğiniz olabilir belirli sitelerde çalışacak olan. Genellikle uzantıları, ya da eklentileri var Eğer tarayıcılar için olsun ne bir o olabilir Eğer bir sayfa bazında veya site başına temelinde bunu sağlayacak. Ayrıca tarayıcınızın güncellenen emin olmalısınız. Eğer bir web sunucusu sorumlusu iseniz, Bu web sunucusunda uygulamaların sorumlu, Ayrıca emin olmak gerekir bu uygulamaların tüm güncel üreticileri ve geliştiriciler çünkü insanlar yararlanarak yeni yollar bulacaksınız Bu komut ve onları yama olacak. Web sunucusu üzerinde bu en son sürümünü alarak Yani Bunu önlemek mümkün olabilir. Bu İK departmanı o HR son sürümünü olsaydı yazılım, zaten elimden olabilir Bu komut dosyası ve onlar herhangi dışarı bu soruna duyarlı olmayacaktır. Güncel web uygulamaları tutarak, ve uygulamaları güncel tarayıcınızı tutmak ve ve Bilgisayarınızdaki işletim sistemi, En azından o bilinen çapraz site emin olabilirsiniz scripting saldırıları önlemek ve emin olabilirsiniz olanlar kimsenin tarayıcınızın yararlanır.