कैसे एक हमलावर भेद्यता का फायदा उठाता है

1. एक दुर्भावनापूर्ण यूआरएल तैयार करना: एक हमलावर एक यूआरएल तैयार कर सकता है जिसमें यूआरएल हैश में दुर्भावनापूर्ण जावास्क्रिप्ट कोड शामिल है। उदाहरण के लिए:

https://xyz.com/#

2. दुर्भावनापूर्ण यूआरएल साझा करना: हमलावर इस यूआरएल को संभावित पीड़ितों के साथ साझा करता है, जो बिना किसी संदेह के इस पर क्लिक कर सकते हैं। हमलावर इस लिंक को ईमेल, सोशल मीडिया या किसी अन्य माध्यम से वितरित कर सकता है।

3. भेद्यता का फायदा उठाना: जब कोई पीड़ित दुर्भावनापूर्ण यूआरएल पर जाता है, तो वेब एप्लिकेशन यूआरएल हैश से मूल्य निकालता है और उसे डीओएम में डालता है। दुर्भावनापूर्ण स्क्रिप्ट वेब पेज के संदर्भ में निष्पादित होती है।

परिणाम: पीड़ित को 'XSS' संदेश वाला एक अलर्ट बॉक्स दिखाई देता है, जो दर्शाता है कि स्क्रिप्ट निष्पादित हो गई है। वास्तविक हमले में, दुर्भावनापूर्ण स्क्रिप्ट कुकीज़ चुराने, कीस्ट्रोक्स कैप्चर करने या उपयोगकर्ता को फ़िशिंग साइट पर रीडायरेक्ट करने जैसी गतिविधियां कर सकती है।

    var userInput = window.location.hash.substring(1);    document.getElementById(\\'message\\').innerHTML = \\\"Hello, \\\"   userInput   \\\"!\\\";    // This results in: Hello, !    // The alert will pop up

DOM-आधारित XSS को रोकना

DOM-आधारित XSS से बचाव के लिए, इन सर्वोत्तम प्रथाओं का पालन करें:

1. उपयोगकर्ता इनपुट को सेनिटाइज़ करें और एस्केप करें: किसी भी उपयोगकर्ता इनपुट को DOM में डालने से पहले हमेशा सेनिटाइज़ करें और एस्केप करें। HTML को स्वच्छ करने के लिए DOMPurify जैसी लाइब्रेरी का उपयोग करें।

2. सुरक्षित DOM हेरफेर विधियों का उपयोग करें: आंतरिक HTML का उपयोग करने के बजाय, textContent या createElement और appendChild जैसी सुरक्षित विधियों का उपयोग करें।

3. सामग्री सुरक्षा नीति (सीएसपी): उन स्रोतों को प्रतिबंधित करने के लिए एक मजबूत सीएसपी लागू करें जहां से स्क्रिप्ट लोड और निष्पादित की जा सकती हैं।

DOM-आधारित XSS एक गंभीर सुरक्षा जोखिम है जो आपके वेब एप्लिकेशन और उपयोगकर्ता डेटा से समझौता कर सकता है। उपयोगकर्ता इनपुट को साफ़ करने और उससे बचने, सुरक्षित DOM हेरफेर विधियों का उपयोग करने और एक मजबूत सामग्री सुरक्षा नीति को लागू करने जैसी सर्वोत्तम प्रथाओं का पालन करके, आप DOM-आधारित XSS हमलों के जोखिम को काफी कम कर सकते हैं।

सतर्क रहें और सुनिश्चित करें कि आपके जावास्क्रिप्ट एप्लिकेशन इन और अन्य कमजोरियों से सुरक्षित हैं। यदि आपके कोई प्रश्न हैं या आपको अतिरिक्त सहायता की आवश्यकता है, तो बेझिझक नीचे टिप्पणी में संपर्क करें।

","image":"http://www.luping.net/uploads/20240801/172251792366ab89a3da365.jpg","datePublished":"2024-08-01T21:12:03+08:00","dateModified":"2024-08-01T21:12:03+08:00","author":{"@type":"Person","name":"luping.net","url":"https://www.luping.net/articlelist/0_1.html"}}
"यदि कोई कर्मचारी अपना काम अच्छी तरह से करना चाहता है, तो उसे पहले अपने औजारों को तेज करना होगा।" - कन्फ्यूशियस, "द एनालेक्ट्स ऑफ कन्फ्यूशियस। लू लिंगगोंग"
मुखपृष्ठ > प्रोग्रामिंग > आपके जावास्क्रिप्ट अनुप्रयोगों को DOM-आधारित XSS हमलों से सुरक्षित रखना

आपके जावास्क्रिप्ट अनुप्रयोगों को DOM-आधारित XSS हमलों से सुरक्षित रखना

2024-08-01 को प्रकाशित
ब्राउज़ करें:589

Protecting Your JavaScript Applications from DOM-based XSS Attacks

क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले वेब अनुप्रयोगों में एक आम भेद्यता हैं, और सबसे खतरनाक प्रकारों में से एक DOM-आधारित XSS है। XSS का यह रूप तब होता है जब किसी वेब पेज के दस्तावेज़ ऑब्जेक्ट मॉडल (DOM) को दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करने के लिए हेरफेर किया जाता है। इस ब्लॉग में, हम DOM-आधारित XSS का पता लगाएंगे, यह कैसे काम करता है, और आप वास्तविक दुनिया के उदाहरण कोड के साथ अपने एप्लिकेशन को इन हमलों से कैसे बचा सकते हैं।

DOM-आधारित XSS क्या है?

DOM-आधारित XSS एक प्रकार का XSS हमला है जहां भेद्यता सर्वर-साइड कोड के बजाय क्लाइंट-साइड कोड में निहित होती है। यह तब होता है जब कोई वेब एप्लिकेशन उपयोगकर्ता इनपुट जैसे अविश्वसनीय स्रोत से डेटा का उपयोग करता है, और इसे उचित सत्यापन या भागने के बिना DOM पर लिखता है। इससे वेब पेज के संदर्भ में दुर्भावनापूर्ण स्क्रिप्ट का निष्पादन हो सकता है, जिससे हमलावरों को डेटा चोरी करने, सत्रों को हाईजैक करने और बहुत कुछ करने की अनुमति मिल सकती है।

DOM-आधारित XSS कैसे काम करता है

आइए यह समझने के लिए एक सरल परिदृश्य को तोड़ें कि एक हमलावर DOM-आधारित XSS का कैसे फायदा उठा सकता है:

कमजोर वेब एप्लिकेशन उदाहरण
एक साधारण वेब पेज पर विचार करें जो यूआरएल हैश से उपयोगकर्ता इनपुट का उपयोग करके एक शुभकामना संदेश प्रदर्शित करता है।



    
    
    DOM-based XSS Example


    

कैसे एक हमलावर भेद्यता का फायदा उठाता है

1. एक दुर्भावनापूर्ण यूआरएल तैयार करना: एक हमलावर एक यूआरएल तैयार कर सकता है जिसमें यूआरएल हैश में दुर्भावनापूर्ण जावास्क्रिप्ट कोड शामिल है। उदाहरण के लिए:

https://xyz.com/#

2. दुर्भावनापूर्ण यूआरएल साझा करना: हमलावर इस यूआरएल को संभावित पीड़ितों के साथ साझा करता है, जो बिना किसी संदेह के इस पर क्लिक कर सकते हैं। हमलावर इस लिंक को ईमेल, सोशल मीडिया या किसी अन्य माध्यम से वितरित कर सकता है।

3. भेद्यता का फायदा उठाना: जब कोई पीड़ित दुर्भावनापूर्ण यूआरएल पर जाता है, तो वेब एप्लिकेशन यूआरएल हैश से मूल्य निकालता है और उसे डीओएम में डालता है। दुर्भावनापूर्ण स्क्रिप्ट वेब पेज के संदर्भ में निष्पादित होती है।

परिणाम: पीड़ित को 'XSS' संदेश वाला एक अलर्ट बॉक्स दिखाई देता है, जो दर्शाता है कि स्क्रिप्ट निष्पादित हो गई है। वास्तविक हमले में, दुर्भावनापूर्ण स्क्रिप्ट कुकीज़ चुराने, कीस्ट्रोक्स कैप्चर करने या उपयोगकर्ता को फ़िशिंग साइट पर रीडायरेक्ट करने जैसी गतिविधियां कर सकती है।


    var userInput = window.location.hash.substring(1);
    document.getElementById('message').innerHTML = "Hello, "   userInput   "!";
    // This results in: Hello, !
    // The alert will pop up


DOM-आधारित XSS को रोकना

DOM-आधारित XSS से बचाव के लिए, इन सर्वोत्तम प्रथाओं का पालन करें:

1. उपयोगकर्ता इनपुट को सेनिटाइज़ करें और एस्केप करें: किसी भी उपयोगकर्ता इनपुट को DOM में डालने से पहले हमेशा सेनिटाइज़ करें और एस्केप करें। HTML को स्वच्छ करने के लिए DOMPurify जैसी लाइब्रेरी का उपयोग करें।




2. सुरक्षित DOM हेरफेर विधियों का उपयोग करें: आंतरिक HTML का उपयोग करने के बजाय, textContent या createElement और appendChild जैसी सुरक्षित विधियों का उपयोग करें।



3. सामग्री सुरक्षा नीति (सीएसपी): उन स्रोतों को प्रतिबंधित करने के लिए एक मजबूत सीएसपी लागू करें जहां से स्क्रिप्ट लोड और निष्पादित की जा सकती हैं।


DOM-आधारित XSS एक गंभीर सुरक्षा जोखिम है जो आपके वेब एप्लिकेशन और उपयोगकर्ता डेटा से समझौता कर सकता है। उपयोगकर्ता इनपुट को साफ़ करने और उससे बचने, सुरक्षित DOM हेरफेर विधियों का उपयोग करने और एक मजबूत सामग्री सुरक्षा नीति को लागू करने जैसी सर्वोत्तम प्रथाओं का पालन करके, आप DOM-आधारित XSS हमलों के जोखिम को काफी कम कर सकते हैं।

सतर्क रहें और सुनिश्चित करें कि आपके जावास्क्रिप्ट एप्लिकेशन इन और अन्य कमजोरियों से सुरक्षित हैं। यदि आपके कोई प्रश्न हैं या आपको अतिरिक्त सहायता की आवश्यकता है, तो बेझिझक नीचे टिप्पणी में संपर्क करें।

विज्ञप्ति वक्तव्य यह लेख यहां पुन: प्रस्तुत किया गया है: https://dev.to/rigalpatel001/protecting-your-javascript-applications-from-dom-आधारित-xss-attacks-j0c?1 यदि कोई उल्लंघन है, तो कृपया स्टडी_गोलंग@163.com पर संपर्क करें। इसे हटाने के लिए
नवीनतम ट्यूटोरियल अधिक>

चीनी भाषा का अध्ययन करें

अस्वीकरण: उपलब्ध कराए गए सभी संसाधन आंशिक रूप से इंटरनेट से हैं। यदि आपके कॉपीराइट या अन्य अधिकारों और हितों का कोई उल्लंघन होता है, तो कृपया विस्तृत कारण बताएं और कॉपीराइट या अधिकारों और हितों का प्रमाण प्रदान करें और फिर इसे ईमेल पर भेजें: [email protected] हम इसे आपके लिए यथाशीघ्र संभालेंगे।

Copyright© 2022 湘ICP备2022001581号-3