 تزریق کد یا Cross Site Scripting یکی از روشهایی میباشد که برای نفوذ و گرفتن دسترسی غیر مجاز از یک
تارنما (website) توسط یک هکر به کار میرود.
تاریخچه
تاريخچه حفره هاي امنيتي در معرض حملات XSS به سال ۱۹۹۶ و سالهاي اوليه تولد صفحات وب باز مي گردد. نفوذگران در آن زمان که پروتکل HTTP جا افتاده بود و طراحان تارنماها از زبانهای Scripting مانند جاوا اسکریپت (Java Script) سود میبردند، دريافتند وقتي کاربران معمولي وارد سايتی می شوند، مي توان به کمک کدنویسی در حفره های امنیتی تارنما، صفحه ديگري را در همان صفحه بارگذاری کرد سپس با سود بردن از جاوا اسکریپت داده های کاربر مانند نام کاربری، گذرواژه و یا کوکی (Cookie) ها را دزدید. در اين هنگام رسانه ها اين مشکلات را به ضعف امنيتي مرورگرها نسبت داده بودند. شرکت ارتباطي Netscape که جزو اولين توليدکنندگان مرورگرهاي وب و همچنين سازنده زبان جاوا اسکریپت بود سياست دامنه شخصي را به اين زبان افزود که جلوي دسترسي به آدرس هاي خارج از دامنه تارنما را مي گرفت و تا حدودي اين حملات را محدود مي کرد.  سناریو های مختلفی برای قرار دادن کد مخرب در سایتها به عنوان حمله وجود دارد :
فیلتر کردن را از دو منظر باید بررسی کرد. فیلتر کردن ورودی های کاربر و فیلتر کردن خروجی ها برای کاربر است.
|
