Self-XSS - Self-XSS

Self-XSS (saytlararo o'zaro skript) a ijtimoiy muhandislik hujum qurbonlarning veb-hisoblari ustidan nazoratni qo'lga kiritish uchun ishlatiladi. Self-XSS hujumida hujum qurboni bilmasdan yuguradi zararli kod o'zlarining veb-brauzerlarida, shu bilan tajovuzkorga shaxsiy ma'lumotlarini ta'sir qilishadi, bu zaiflik deb nomlanadi saytlararo skript.[1]

Umumiy nuqtai

Self-XSS foydalanuvchilarni zararli tarkibni o'z brauzerlariga nusxalash va joylashtirishga aldash orqali ishlaydi. veb-ishlab chiquvchi konsol.[1] Odatda, tajovuzkor ma'lum bir kodni nusxalash va ishga tushirish orqali xabar yuboradi, foydalanuvchi boshqa foydalanuvchining hisobini buzishi mumkin. Aslida, kod tajovuzkorga jabrlanuvchining hisobini o'g'irlashga imkon beradi.[2]

Tarix va yumshatish

Ilgari, xuddi shunday hujum bo'lib, foydalanuvchilar aldanib, zararli dasturlarni yopishtirishgan JavaScript ularning manzil satriga. Brauzer sotuvchilari buni manzil satridan JavaScript-ni osongina ishga tushirishni oldini olish bilan to'xtatganda,[3][4] tajovuzkorlar Self-XSS-dan hozirgi shaklda foydalanishni boshladilar. Veb-brauzer sotuvchilari va veb-saytlari ushbu hujumni yumshatish choralarini ko'rdilar. Firefox[5] va Gugl xrom[6] ikkalasi ham foydalanuvchilarni Self-XSS hujumlari to'g'risida ogohlantirish uchun xavfsizlik choralarini qo'llashni boshladilar. Endi foydalanuvchilar veb-ishlab chiquvchi konsolini ochganda Facebook va boshqalar ogohlantiruvchi xabarni namoyish etadilar va ular hujumni batafsil tushuntirib beradigan sahifalarga bog'lanishadi.[7][8]

Etimologiya

Ismning "o'zini" qismi foydalanuvchi o'zlariga hujum qilishidan kelib chiqadi. Ismning "XSS" qismi for qisqartmasidan keladi saytlararo skript, chunki ikkala hujum ham qonuniy saytda zararli kod ishlashiga olib keladi. Biroq, hujumlarning umumiy jihatlari juda ko'p emas, chunki XSS bu veb-saytning o'ziga qarshi hujum (foydalanuvchilar o'zlarini himoya qila olmaydilar, lekin sayt operatorlari tomonidan o'zlarining saytlarini yanada xavfsizroq qilishlari mumkin), ammo Self-XSS bu foydalanuvchiga qarshi ijtimoiy muhandislik hujumi (bu aqlli foydalanuvchilar o'zlarini himoya qilishi mumkin, ammo sayt operatori bu haqda hech narsa qila olmaydi).[9]

Adabiyotlar

  1. ^ a b Scharr, Jill (2014 yil 28-iyul). "Feysbukdagi firibgarlar foydalanuvchilarni o'zlarini buzish uchun aldashadi". Tomning qo'llanmasi AQSh. Xarid qilish. Olingan 27 sentyabr, 2014.
  2. ^ "Ijtimoiy tarmoq xavfsizligiga tahdidlar". Sofos. nd. Olingan 27 sentyabr, 2014.
  3. ^ "Xato 656433 - Javascriptni taqiqlash: va ma'lumotlar: joylashuv satriga kiritilgan URL manzillar hozirda yuklangan sahifaning asosiy qismini meros qilib olishdan". Bugzilla. Mozilla Foundation. 2011 yil 11-may. Olingan 28 sentyabr, 2014.
  4. ^ "82181-son: [Linux] Strip javascript: pasta / tomchilardan omniboksga sxema". Google kodi. Google. 2011 yil 10-may. Olingan 28 sentyabr, 2014.
  5. ^ "Xato 994134 - birinchi marta foydalanayotganlarni konsolga kod qo'yishi to'g'risida ogohlantiring". Bugzilla. Mozilla Foundation. 2014 yil 9 aprel. Olingan 28 sentyabr, 2014.
  6. ^ "345205-son: DevTools: Combat self-XSS". Google kodi. Google. 2011 yil 10-may. Olingan 28 sentyabr, 2014.
  7. ^ "Self-XSS firibgarlari nimaga o'xshaydi?". Facebook yordami. Facebook. 2014 yil 11-iyul. Olingan 27 sentyabr, 2014.
  8. ^ "Self-XSS nima?". Facebook yordami. Facebook. 2014 yil 15-iyul. Olingan 27 sentyabr, 2014.
  9. ^ Ilascu, Ionut (2014 yil 28-iyul). "Hackerlar o'zlarining saytlararo skriptlarini (XSS) firibgarligiga Facebook foydalanuvchilarini aldashadi".. Softpedia. SoftNews NET SRL. Olingan 27 sentyabr, 2014.

Qo'shimcha o'qish