کلیاتی در مورد بررسی و جلوگیری از حملات XSS در وردپرس

6

با افزایش روزمره سایت های اینترنتی، حملات مخرب هکرها به سایت ها هم روز به روز افزایش پیدا نموده است. یکی از این حملات مخرب نوعی حمله تزریق کد است که نسبت به سایت های با برنامه نویسی وردپرس شکل می گیرد. این نوع حمله XSS نامیده می شود و ما در این مقاله قصد به ارائه کلیاتی در مورد بررسی و جلوگیری از حملات XSS در وردپرس داریم.

XSS چیست

بحث بررسی و جلوگیری از حملات XSS در وردپرس یکی از مواردی است که این روزها باید دقت و توجه بسیاری را نسبت به آن معطوف نماییم. در این خصوص نخست لازم است بدانیم که حمله هکری XSS چیست؟

حمله هکری XSS چیست

XSS مخفف کلمه Cross Site Scripting است و برای اینکه کلمات اختصاری آن با زبان برنامه نویسی CSS اشتباه گرفته نشود از کلمه اختصاری XSS استفاده شده است. XSS نوعی حمله هکری ضد امنیتی وب سایت است که روی وب سایت هایی عمل می کند که دارای برنامه های کاربردی تحت وب با امنیت پایین هستند.

بررسی و جلوگیری از حملات XSS در وردپرس، یکی از نیازهای ضروری برای مالکان چنین سایت هایی یا دارای وب اپلیکیشن با امنیت پایین است.

در این سایت ها حمله هکری به این صورت شکل می گیرد که یک اسکریپت مخرب به آسیب پذیری سایت تزریق می گردد. مثال این نوع حمله هکری ارسال یک پیام مخرب در یک فروم است که کاربر با کلیک روی این لینک مخرب به یک سایت جعلی وارد شده ( مانند فیشینگ) و اطلاعات آن به سرقت می رود. هدف این حمله هکری، دزدیدن توکن ها، شناسه ها و اطلاعات کاربران سایت است.

در بیشتر موارد این حمله هکری به جهت دزدیدن کوکی افراد استفاده شده است. جهت بررسی و جلوگیری از حملات XSS در وردپرس، شمای این حمله هکری در شکل زیر نمایش داده شده است:

در ادامه بحث بررسی و جلوگیری از حملات XSS در وردپرس لازم است انواع حملات XSS را بررسی نماییم :

جلوگیری از حملات XSS در وردپرس

حمله هکری XSS غیر مستقیم یا منعکس شده :

هنگامی که یک سایت دستکاری شده یا دارای کد مخرب را باز می نماییم، اسکریپت مخربی به وب سرور فرستاده می شود. سپس این اسکریپت مخرب بدون بررسی به کاربر بازگردانده می شود. باید بدانیم که این کد مخرب در سرور ذخیره نشده چرا که به شکل موقت منتظر ورود کاربر به سایت است تا کار حمله و هک خود را انجام دهد. در این نوع حمله هکری، سایت های داینامیک و برنامه های ارسال و دریافت ایمیل بسیار آسیب پذیر هستند.

حمله هکری XSS غیر مستقیم

حمله هکری XSS مستقیم یا مداوم :

فایل های مخرب در وب سرور ذخیره شده و هر بار که توسط مرورگر صفحه مورد بازدید قرار می گیرد، کد مخرب آزاد می شود. در این حمله هکری، تمامی برنامه های کاربردی که اطلاعات کاربران را در خود ذخیره نموده اند و آن ها را بدون کنترل یا استفاده از متدهای کدنویسی منتقل می نمایند، تحت آسیب و خطر قرار دارند. وبلاگ ها و فروم ها نیز در این نوع حمله هکری بسیار آسیب پذیر هستند.

در این حمله هکری، هر ورود کاربر به سایت معمولا بدون کنترل و دقت، ذخیره می گردد. حمله کننده ها از این موضوع استفاده نموده و اسکریپت مخرب خود را در یک اسکریپت به ظاهر نرمال ارسال می نمایند. کاربر از همه جا بی خبر لینکی را توسط ایمیل دریافت مینماید و اگر به طور اتفاقی وارد لینک ارسالی شود، اسکریپت مخرب فعال شده و کاربر را هک می کند.

حمله هکری XSS مبتنی بر DOM

حمله هکری XSS مبتنی بر DOM :

در حمله مدل شی سند یا Document Object Model که حمله هکری XSS محلی نیز نامیده می شود، تخریب توسط اسکریپتی است که از سمت کاربر سایت ایجاد شده است. هنگامی که صفحه درگیر باز می شود، کد مخرب موجود در حفره امنیتی یک مرورگر یا کد موجود هنگام نصب آن به هکر کمک می نماید تا کار تخریب خود را بدون هرگونه اعتبارسنجی قبلی انجام دهد.

در این نوع از حمله هکری و برخلاف دو مدل قبلی، وب سرور درگیر نیست بنابراین این نوع حمله هکری سایت های استاتیکی را درگیر خود می نماید که ایراد و یا حفره امنیتی در برنامه نویسی سایت خود دارند.

در این حالت با باز شدن سایت توسط کاربر حمله هکری XSS رخ می دهد و در این حالت اسکریپت مخرب، متغیرهای URL را انتخاب و مدیریت نموده و دست به تخریب آن ها می زند.

جلوگیری از حمله هکری XSS

جلوگیری از حمله هکری XSS :

چه برای محافظت کاربر و چه محافظت از ادمین سایت، حمله هکری XSS به گونه ای نیست که نتوان آن را پیش بینی نمود. کاربران اطلاعات خود را باید وارد سایت هایی نمایند که از اعتبار سایت مطمئن باشند. ادمین سایت هم باید بداند که مسئول حفظ و نگهداری اطلاعات مشتریان یا کاربران سایت هستند.

پس از همان ابتدا مهم بودن حفظ اطلاعات کاربر از هر دو طرف کاربر و ادمین سایت وجود دارد. اگه یک سایت در خظر چنین حمله هکری است باید خرابی سایت و یا محتواهای مشکوک یا مخرب را سریعا بررسی و اصلاح نماید وگرنه باید مجازات سهل انگاری خود یا خسارت های مالی پیش آمده را تقبل و تحمل نمایند.

برای ادمین های وب سایت وردپرسی بررسی و جلوگیری از حملات XSS در وردپرس بسیار حائز اهمیت است. باید نسبت به هر داده و متغیر ورودی، محتاط باشید. باید قبل از پذیرش سرور، کلیه متغیرها را به دقت بررسی نمایید.

بهترین حالت نصب افزونه های مناسب جهت شناسایی متغیرهای دارای اشکال و مخرب و ارسال آن ها به داخل لیست سیاه و مسدود کردنشان است. تا زمانی که ظرفیت صفحه ورودی سایت شما اجازه بررسی ورودی ها را دارد و قادر به جداسازی منطقی متغیرهای بدون ایراد است، خیالتان راحت باشد که مشکلی وجود ندارد.

اما باید داده خروجی را نیز مورد بررسی قرار دهید. می توان گفت در بررسی و جلوگیری از حملات XSS در وردپرس، خیلی مهم است که داده های مشکل دار اچ تی ام ال را با رفرنس های متنی جایگزین نمایید. اغلب زبان های برنامه نویسی ماتنند پرل، جاوا اسکریپت یا پی اچ پی شامل توابع از پیش تعریف شده هستند که میتوانند برای ماسک کردن یا جایگزینی کاراکترها استفاده شوند.

در وردپرس به سه روش می توان از داده ها و متغیرهای ورودی و خروجی محافظت نمود که عبارتند از:

حفظ نمودن داده ها و متغیرها. وردپرس دارای هاستی با ویژگی های فوق العاده است که که ورودی های غیرقابل اطمینان کاربران را پاک می نماید. بررسی و جلوگیری از حملات XSS در وردپرس، به حفظ داده صحیح کمک می نماید.

اعتبارسنجی ورودی داده در وردپرس. اعتبارسنجی به این معناست که همه اطلاعات داده ها مطابق با میل و نظر شما باشد. توابع ویژه ای در وردپرس وجود دارد که این اطلاعات را اعتبارسنجی می نماید.

فرار از فیلترها در وردپرس. در مورد بررسی و جلوگیری از حملات XSS در وردپرس، فرار از فیلترها روشی نیست که توسعه دهندگان وب معمولا به آن علاقمند باشند. اما به این منظور، به نحوی اطلاعات ورودی کاربران سانسور می گردد یا استفاده از بعضی کاراکترهای ویژه از سمت کاربر محدود می گردد تا نتوانند کدی مخرب را به اطلاعات سایت شما اضافه نمایند.

در این مقاله سعی نمودیم با بررسی و جلوگیری از حملات XSS در وردپرس، کمکی در دفع حمله هکری بنماییم.

اسماعیل فدائی
اسماعیل فدائی

اسماعیل یک مدرس و نویسنده خلاق است،همچنین مدیر و توسعه دهنده لرن دی ال

ما از شنیدن دیدگاه های شما خوشحال خواهیم شد

دیدگاه شما

14000+

کاربران فعال سایت

730+

محصولات فارسی سایت

18000+

تیکت های مشتریان

6

سال فعالیت حرفه ای

لرن دی ال
Logo