GoodLuck يوللانغان ۋاقتى 2014-1-21 13:29:23

تور بېكەت بىخەتەرلىكىدىكى يەنە بىر مۇھىم ھالقا XSS

تور بېكەتنىڭ بىخەتەرلىكىنىڭ مۇھىملىقىى تەكىتلەپ ئولتۇرۇشنىڭ مۇھىملىقىنى ئەزۋەيلىشىمىزنىڭ زۆرۆرىيىتى يوق دەپ قارايمەن. نۆۋەتتە بىر قەدەر ئوموملاشقان تەھدىد سېلىش ئۇسۇللىرىدىن مۇلازىمىتىر مەخپى نومۇرىنى ئوغۇرلاش، SQL جۈملىسى بىلەن تىزىملىتىش(SQL注入) قاتارلىقلار بولۇپ، يېڭى پروگراممىرلارنى تەربىيلەش دەرسلىرىدە بۇ ھالقىلار تەكىتلىنىپ، يوچۇقلارنى ئېتىش ئۇسۇللىرى سۆزلىنىدىغان بولسىمۇ، ئىزچىل كۆڭۈل بۆلۈنمىگەن يەنە بىر خىل ھۇجۇم قىلىش ئۇسۇلى بار. بۇ خىل ئۇسۇلنى ئېنگىلىزچىدا Cross Site Scripting دەپ ئاتايدىغان بولۇپ خەنسولار 跨站脚本 دەپ ئاتايدۇ. ئېنگىلىزچە ھەرپلەرنى قىسقارتسا CSS بولىشى كېرەك، لېكىن بۇ ئاتالغۇ بىز بەت لاھىيىسى قوراشتۇرۇشتا ئىشلىتىلىدىغان CSS بىلەن ئوخشاش بولۇپ قالىدىغان بولغاچقا، پەرقلەندۈرۈش ئۈچۈن XSS دەپ ئاتاپ كېلىنمەكتە.
بۇ يازمىدا XSS تىن ئىبارەت بىر خىل ھوجۇم قىلىش ئۇسۇلىنىڭمۇ بارلىقىنى تونۇشتۇرۇپ ئۆتۈش بىلەن بىرگە ئۇنىڭ پىرىنسىپى ۋە قىسقىچە قىلىپ، مۇداپىئە قىلىش تەدبىرى ھەققىدە چۈشەنچە بېرىپ ئۆتىمەن ۋە پروگراممىرلارنىڭ بۇ خىلدىكى يوچۇقلارغىمۇ دېققەت ئىتىبارىنى بېرىشىنى ئۈمىد قىلىمەن.
تونۇشتۇرۇش:
XSS مۇ باشقا ھۇجۇم قىلىش ئۇسۇللىرىغا ئوخشاش، تور بېكەت يوچۇقىدىن پايدىلىنىپ ساندان ئۇچۇرلىرىنى يولسىز زىيارەت قىلىپ، ئۇچۇر ئوغۇرلاشنى مەقسەت قىلىدۇ. تورغا چىققۇچىلار تور بەت زىيارەت قىلغاندا، بەر مەزمۇنىدىكى ئۇلىنىشلارنى پەرۋا قىلماستىن چېكىدۇ، ھۇجۇم قىلغۇچىلار مۇشۇ ئۇلىنىشقا يامان نىيەتلىك كودلارنى قىستۇرغان بولۇپ، مۇشۇ ئارقىلىق ئۇچۇر ئوغۇرلاش مەقسىتىگە يېتىدۇ. ھۇجۇم قىلغۇچىلار كۆپىنچە ئوغىرى ئادرېسنى 16ئۆلچەملىك كود ۋە باشقا كودلاش ئۇسۇللىرى بىلەن مەخپىپلەشتۈرۈپ، تورغا چىققۇچىنىڭ تور ئادرېسىدىن گۇمانلىنىپ قېلىشىدىن ساقلىنىدۇ.
        تىپلىرى:
(1) ئۇزۇن مۇددەتلىك XSS : ئەڭ بىۋاستە زىيان سېلىش ئۇسۇلى بولۇپ، XSS كودى مۇلازىمىتىردا يەنى سانداندا ساقلانغان بولىدۇ. (2)ۋاقىتلىقXSS : ئەڭ ئوموملاشقان ئۇسۇل بولۇپ، تور بەتنى زىيارەت قىلىش جەريانىدا XSS بۇيرۇقى ساقلانغان ئۇلانمىنى چەككەندە، ھۇجۇم ئىجرا بولىدۇ. (3)DOM XSS: بۇ يەردىكى DOM دېگىنىمىز Document Object Model بولۇپ، ھۆججەت ئوبىكت مودىلى دېگەن مەنىدە، ئىشلەتكۈچى تەرەپتىكى Script لوگىكىسىنى بىر تەرەپ قىلىشتا كېلىپ چىققان بىخەتەرلىك مەسىلىسىنى كۆرسىتىدۇ.
ھۇجۇم پىرىنسىپى:
ھۇجۇم قىلغۇچىلارنىڭ ئۇسۇلى ئومومەن، ھۇجۇم پروگراممىنىڭ ئىچىگە Javascript, VBScript, ActiveX ۋە Flash كودلىرنى قىستۇرۇپ، پروگراممىسىنى ئىجرا قىلدۇرالىسىلا، بۇ ئارقىلىق ئىشلەتكۈچى نومۇرىنى ئۆزگەرتىۋېتىش، Cookie ئوغۇرلاش، مەۋھۇم ئېلان قىستۇرىۋېلىش ۋە ئۇنىڭدىنمۇ يامان بولغان مەقسەتلىرىنى ئىشقا ئاشۇرالايدۇ.
بولۇپمۇ يېقىندىن بېرى Ajax تېخنىكىسىنىڭ بارلىققا كېلىشى ۋە كۆپلەپ ئىشلىتىلىشى، XSS ھۇجۇمىنى تېخىمۇ ئوڭاي ۋە ئۈنۈملۈك ئىشقا ئاشۇرۇشنى قولاي شارائىتلار بىلەن تەمىن ئەتتى. Ajax ئىشلىتىپ باققانلار بىلىمىز، Ajax نىڭ ئەڭ چوڭ ئارتۇقچىلىقى بەتنى يېڭىلىماي تۇرۇپ، بەت ئۇچۇرلىرىنى يېڭىلاش. ئۇنىڭ ئۈستىگە Ajax نىڭ مۇلازىمىتىر ۋە ئۈچىنچى تەرەپتىن كەلگەن بۇيرۇقلارنى ئىجرا قىلىش ئالاھىدىلىكى، XSS ئۈچۈن ناھايتىمۇ بىر ئوبدان پۇرسەت تەمىنلىدى.
بۇ يەردە ھۇجۇم قىلىش ئۇسۇللىرى ھەققىدە تەپسىلى توختالمايمەن، بۇنداق بىر يوچۇقنىڭ بارلىقىنى خېلى بۇرۇنلا بىلگەن بولساممۇ، بۇ ھەقتە تەپسىلىراق ئىزدىنىپ بېقىشقا ئىزچىل ۋاقىت چىقىرالمىدىم، قىزىققۇچىلار ئىزدىنىپ باقسا بولىدۇ، لېكىن ئەخلاقلىق بولۇپ خەققە ئاۋارچىلىق تېرىپ بەرمەسلىكىنى ئۈمىد قىلىمەن.
مۇداپىئە
XSS دىن مۇداپىئە كۆرۈشنىڭ ئەڭ ئۈنۈملۈك ئۇسۇلى ئىككىگە يېغىنچاقلىنىدۇ. بىرىنچىسى: كىرگۈزىدىغان ئۇچۇرلارنى تەكشۈرۈپ، گۇمانلىق مەلۇماتلارنى توسۇش. ئىككىنچىسى: چىقىرىدىغان ئۇچۇرلارغا قارتا كودلاش مەشغۇلاتى قىلىپ، باشقىلارنىڭ Script تىلى ئىشلىتىپ تۆر كۆرگۈچ يۈزىدە مەشغۇلات قىلىشىنىڭ ئالدىنى ئېلىش. مەسىلەن:
كىرگۈزۈشنى تەكشۈرۈش:  قوبۇللانغان مەلۇم ئۇچۇرنى، كۆرنىدىغان ئۇچۇر شەكلىدە(يەنى سانداندىن ئوقۇپ ئېلىپ كۆسىتىدىغان) ساقلاشتىن بۇرۇن، ئۆلچەملىك كىرگۈزۈشنى تەكشۈرۈش قۇرۇلمىسىدىن ئۆتكۈزۈپ، ئۇچۇرلارنىڭ تىپى، ئۇزۇنلىقى، ھالقىلىق بەلگە... قاتارلىقلارغا ھۆكۈم قىلىش كېرەك.
چىقىرىشنى تەكشۈرۈش: URL نى مەخپىيلەشتۈرۈش قاتارلىقلار، مەزمۇندىكى «<»،«’» ۋە شۇنىڭغا ئوخشىغان بەلگىلەرنى سۈزۈپ، بەت يۈزىدە Script كودىنىڭ ئىجرا بولۇپ قېلىشىنىڭ ئالدىنى ئېلىش. بەت يۈزىدە سىرىتقا قارىتا بىۋاستە ئۇلىنىش تەمىنلىمەسلىك، تەمىنلەنسىمۇ ئۇلىنىش نامىنىڭ ئالدامچى ئۇلىنىش ئادرېسى بىلەن قاپلىنىپ كېتىشىنىڭ ئالدىنى ئېلىش... قاتارلىقلار.
مۇداپىئە قىلىش قانۇنىيەتلىرى:
1.        كىرگۈزىدىغان ئورۇنغا ئىشەنچىسىز ئۇچۇرلارنى كىرگۈزۈشكە يول قويماسلىق.  مەسىلەن مەلۇم كىرگۈزۈش ئورنىغا:

شەكلىدە script پروگراممىزى يېزىپ كىرگۈزىۋىتەلىسە، ئارقىدىن ئۆزى يوللىغان فونكىسىيەنى ئىجرا قىلىپ يامان نىيەتكە يېتىشى مۇمكىن.

2.        بەت يۈزىگە ئىشلىتىلگەن HTML كودلىرىنى يېشىۋېتىش، يەنى ھەر خىل بەلگىلەرنى ماس بولغان ئەسلى كودقا ئايلاندۇرىۋېتىش. ۋەھاكازالار...
  توردىن ۋە كىتابخانىلاردىن ماتېرىيال كۆرۈپ باقسام، XSS ھەققىدە نۇرغۇنلىغان ماتېرىياللار باركەن، قىزىققۇچىلار ئۆزلىرى ئىزدىنىپ باقسا بولىدۇ.

ھالقىلىق سۆزلەر:
XSS
跨站脚本
Cross Site Scripting

parakende يوللانغان ۋاقتى 2014-1-21 14:15:04

مەن چۈشەنمەيدىغان گەپلەركەن{:116:}

radiofan يوللانغان ۋاقتى 2014-1-21 16:50:13

سۇمۇرۇغ تورىنىڭ خەۋىرىگە قارىغاندا ، بۇگۇن  DNS تىن چاتاق چىقىپ ، جوڭگونىڭ نۇرغۇنلىغان كومپىيۇتىرلىردا تور بەتلەرنى نۇرمال ئاچقىلى بولماپتۇ . ئامىرىكىدىكى   DNS مۇلازىمىتىردىن چاتاق چىققانمىش ...

ئالىي مەكتەپكى يىڭى بارغاندا خاككىرلار ئىمپىرىيسىنى كۆرۇپ ، مىنىڭمۇ خاككىر بولغۇم كەلگەن ،  بىر يىلدىن كۆپرەك تورخانا ، كومپىيۇتىرخانىلارغا قاتىراپ ، قىسمىي توردىكى باشقىلارنىڭ كومپىيۇتىرنى بەزى يۇمشاق دېتالنىڭ يارىدىمىدە ئۆچۇرۋەتكۇدەك، ئۇچۇر ئەۋەتكۇدەك  بولغان{:90:} ،  كىيىن كەسپىمىنڭ فىزىكا ئىكەنلىكى يادىمغا يېتىپ ، خاكىكىرلىقنى{:103:} تاشلاپ قويغانتىم

tadubeg يوللانغان ۋاقتى 2014-1-21 17:32:34

مۇشۇ ئەدەملىدىن قوقمىسا  بولمايدۇ :lol

QUYASH يوللانغان ۋاقتى 2014-1-21 18:13:51

tadubeg يوللىغان ۋاقتى  2014-1-21 17:32 static/image/common/back.gif
مۇشۇ ئەدەملىدىن قوقمىسا  بولمايدۇ

بىلىدىغانلاردىن چاتاق چىقمايدۇ. چاتاق بىلمەيدىغانلاردىن چقىدۇ.

avatar يوللانغان ۋاقتى 2014-1-22 03:25:53

ئىزدىنىشنىڭ بۇرۇنقى بەت سىستېمىسىدا مۇشۇنداق بىر يوچۇق بولىدىغان:lol

tvman يوللانغان ۋاقتى 2014-1-22 10:51:41

ئالىي مەكتەپتە مەنمۇ ‹خاككىر› ئىدىم ، 100دەك كىيۇ كىيۇ ئوغۇرلىغان 6 خانىلىقلىرىمۇ بار ئىدى:lol

GoodLuck يوللانغان ۋاقتى 2014-1-22 10:54:23

ئىزدىنىشنىڭ بۇرۇنقى سىستېمىسىدا بۇنداق يوچۇق خېلى بار ئېدى، ئادرىس كۆزنىكىگە پروگرامما يېزىپلا ئارقا سۇپىغا كىرگىلى بولىدىغان ئۆگىتىش دەرسلىرىنىمۇ ئۇچىراتقانىدىم، لېكىن ئالدىراشچىلىقتا سىناپ يۈرمىگەن، ماتېرىيال يىغىپ قويغان بولمىسا سىنايدىغانغا

GoodLuck يوللانغان ۋاقتى 2014-1-22 10:55:18

ماۋۇ يېڭى سىستېما نۇرغۇن سىناقلاردىن ئۆتكەن، ئۇنداق يوچۇق يوق دەپ ئويلايمەن، ئاۋارە بولۇپ يۈرمەڭلا

avatar يوللانغان ۋاقتى 2014-1-22 16:44:51

GoodLuck يوللىغان ۋاقتى  2014-1-22 10:55 static/image/common/back.gif
ماۋۇ يېڭى سىستېما نۇرغۇن سىناقلاردىن ئۆتكەن، ئۇنداق ي ...

بۇنىڭمۇ يوچۇقى بار،دۇنيادا مۇكەممەل نەرسە مەۋجۇت ئەمەس(مۇكەممەللىك ئاللاھقا خاستۇر).ئىشقىلىپ ئانچە-مۇنچە ئورگان بېتىگە چىقىپ مارىلاپ تۇرغاننىڭ زىيىنى يوق.

datman يوللانغان ۋاقتى 2014-1-24 03:11:16

بىزمۇ بىر كۇنلەردە چچ نۇمرى ئوغۇرلاپ يۇرۇپ ئۆزىمىزنى خاككىر دەپ ئاتاپ يۇرۇپتىكەنمىز
كىيىنچە خاككىر بولماق ئۇنچە ئاسان ئەمەسلىكىنى بىلىپ تاشلاپ قويغان تاس قالغان بىرقىتىم بالاغا قالغىلى شۇڭا
ئەڭ ياخشىسى غىت قىسقان ياخشى كەن جۇما

anatil8 يوللانغان ۋاقتى 2014-4-13 15:23:54

GoodLuck يوللىغان ۋاقتى  2014-1-22 10:55 static/image/common/back.gif
ماۋۇ يېڭى سىستېما نۇرغۇن سىناقلاردىن ئۆتكەن، ئۇنداق ي ...

پىشقەدەم ئەزالارنىڭ كۆپىنچىسى باشقۇرغۇچى بوپ بوپتۇ ھە؟

مۇبارەك بولسۇن گودلاكجان.
بەت: [1]
: تور بېكەت بىخەتەرلىكىدىكى يەنە بىر مۇھىم ھالقا XSS