Facebook
Twitter
RSS763
צפיות
צפיות
2
תשובות
תשובות
הגנה מפני XSS
היי..
אני כרגע בעיצומו של פרוייקט חדש שאני עובד עליו, ואני רוצה לאבטח את המערכת שלי.
אז, אני רוצה להגן מפני XSS (גניבת עוגיות, לא?), ואין לי ממש מושג איך לעשות את זה.
אז, אם מישהו יוכל להביא קישור למאמר או להסביר בעצמו, אני אשמח.
תודה לעוזר..
2 תשובות
אתה יכול….
להצפין את העוגיות.
ליגנוב אפשר תמיד…
ללכת למחשב של חבר לראות מה כתוב לו בעויות להעתיק ויש לך פרטים…
אבל אם תצפין אותם אז לא יכולו לקחת את המלל.
זאת הגנבה.
זה לא נגיד שאני לוקח לך מהמחשב עוגייה ועכשיו היא תיפעל לי, לא כי היא לא תיפעל….
זה רושם את המספר של המחשב (היא מקודדת) לכל מחשב אך שהוא….
השיטה הכי טובה זה להצפין אותה, ולהשתמש באתר בחיבור משתמשים וכו..(לדוגמא) ב session ולא בקוקיז…
זה שטויות, אין הגנה נגד זה.
הפרצה שמתקיימת ב-XSS זה שהאקר/משתמש לא ידוע שותל תוכן בתוך אתר מסויים וע"י כך גולשים אחרים חשופים לקוד שאותו הוא יוצר.
במקרה הטוב השינוי הוא שינוי סטטי בלי שום JS/VBS…
במקרה הרע ההאקר יכול להפנות משתמשים לאתר אחר וגם לגנוב את העוגיות של המשתמשים באתר. באתרי קניות למשל זו פרצה מאוד חמורה.
ניתן להתגונן בפניה ע"י סינון והחלפת תווים מזיקים. בד"כ הם יהיו: "<", ">", " ' ", " " ". ו- "&"