XSS हमलों के संरक्षण से कुकीज़
अभी भी तीन तकनीकी सत्र अपहरण याद है? भविष्यवाणी, कब्जा, सत्र कुकीज़ fixate. वैसे, एक तकनीक कुकी (क्रॉस साइट स्क्रिप्टिंग XSS) पर कब्जा है, पीड़ित के ब्राउज़र पर एक स्क्रिप्ट इंजेक्शन लगाने के द्वारा, तो पढ़ने के लिए और आक्रमणकारी के सर्वर के लिए कुकीज़ भेजने के लिए स्क्रिप्ट. स्क्रिप्ट document.cookie जो इतने तैयार किया था स्क्रिप्ट क्लाइंट पक्ष पर ब्राउज़र कुकी हेरफेर कर सकते हैं कि कुकी के माध्यम से पढ़ा है.
XSS हमलों की चोरी के मामले से कैसे कुकीज़ की रक्षा करने के लिए? वास्तव में डेवलपर्स को सुनिश्चित करने के लिए प्रयास करना चाहिए कि वेब अनुप्रयोगों में कोई XSS कीड़े, लेकिन यह आसान करने के लिए XSS को रोकने के लिए नहीं था. वहाँ स्क्रिप्ट / कि अनुमति देता है टैग लेखन के कई वेरिएंट हैं स्क्रिप्ट का इंजेक्शन. अगर सभी HTML टैग आवेदन में अनुमति नहीं है, यह आसान है
रोकने XSS. लेकिन अगर डेवलपर्स एक स्थिति में जहाँ वहाँ HTML टैग कर रहे हैं की अनुमति दी हैं और जो नहीं होना चाहिए, यह एक बार और कठिन डेवलपर्स संभावना है.
असल में वहाँ जब कुकी मदद कुकी चोरी को रोकने जब XSS छेद कर रहे हैं प्रयोग किया जाता से झंडे हैं. इस तरह के एक झंडा httpOnly और सुरक्षित है. जब कुकीज़ झंडे दिए गए httponly / सुरक्षित है, तो जावास्क्रिप्ट होना document.cookie के माध्यम से कुकीज़ का उपयोग करने में सक्षम नहीं होगा. लेकिन यह झंडा XSS रोकने नहीं है, यह केवल ध्वज की रक्षा में मदद करता है
कुकीज़. याद वहाँ कई अन्य हमलों XSS के द्वारा किया जा सकता है, और अधिक कुकीज़ चोरी से भी ज्यादा खतरनाक हैं. डेवलपर्स अब भी है ब्राउज़र ग्राहक पर कुछ भी प्रदर्शित करने से पहले सावधान रहना. यह ध्वज वास्तव में बहुत उपयोगी है, लेकिन दुर्भाग्य से शायद ही कभी इस ध्वज की वजह से इस्तेमाल किया अलोकप्रिय और डेवलपर्स जो पता कई नहीं हो सकता है.
बारे में अधिक जानें httponly और सुरक्षित झंडे पर पढ़ कृपया:
http://www.ilmuhacking.com/web-security/protecting-cookie-from-xss-using-httponly-secure-flag/
टिप्पणी