क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले वेब अनुप्रयोगों में एक आम भेद्यता हैं, और सबसे खतरनाक प्रकारों में से एक DOM-आधारित XSS है। XSS का यह रूप तब होता है जब किसी वेब पेज के दस्तावेज़ ऑब्जेक्ट मॉडल (DOM) को दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करने के लिए हेरफेर किया जाता है। इस ब्लॉग में, हम DOM-आधारित XSS का पता लगाएंगे, यह कैसे काम करता है, और आप वास्तविक दुनिया के उदाहरण कोड के साथ अपने एप्लिकेशन को इन हमलों से कैसे बचा सकते हैं।

DOM-आधारित XSS क्या है?

DOM-आधारित XSS एक प्रकार का XSS हमला है जहां भेद्यता सर्वर-साइड कोड के बजाय क्लाइंट-साइड कोड में निहित होती है। यह तब होता है जब कोई वेब एप्लिकेशन उपयोगकर्ता इनपुट जैसे अविश्वसनीय स्रोत से डेटा का उपयोग करता है, और इसे उचित सत्यापन या भागने के बिना DOM पर लिखता है। इससे वेब पेज के संदर्भ में दुर्भावनापूर्ण स्क्रिप्ट का निष्पादन हो सकता है, जिससे हमलावरों को डेटा चोरी करने, सत्रों को हाईजैक करने और बहुत कुछ करने की अनुमति मिल सकती है।

DOM-आधारित XSS कैसे काम करता है

आइए यह समझने के लिए एक सरल परिदृश्य को तोड़ें कि एक हमलावर DOM-आधारित XSS का कैसे फायदा उठा सकता है:

कमजोर वेब एप्लिकेशन उदाहरण
एक साधारण वेब पेज पर विचार करें जो यूआरएल हैश से उपयोगकर्ता इनपुट का उपयोग करके एक शुभकामना संदेश प्रदर्शित करता है।

कैसे एक हमलावर भेद्यता का फायदा उठाता है

1. एक दुर्भावनापूर्ण यूआरएल तैयार करना: एक हमलावर एक यूआरएल तैयार कर सकता है जिसमें यूआरएल हैश में दुर्भावनापूर्ण जावास्क्रिप्ट कोड शामिल है। उदाहरण के लिए:

https://xyz.com/#

2. दुर्भावनापूर्ण यूआरएल साझा करना: हमलावर इस यूआरएल को संभावित पीड़ितों के साथ साझा करता है, जो बिना किसी संदेह के इस पर क्लिक कर सकते हैं। हमलावर इस लिंक को ईमेल, सोशल मीडिया या किसी अन्य माध्यम से वितरित कर सकता है।

3. भेद्यता का फायदा उठाना: जब कोई पीड़ित दुर्भावनापूर्ण यूआरएल पर जाता है, तो वेब एप्लिकेशन यूआरएल हैश से मूल्य निकालता है और उसे डीओएम में डालता है। दुर्भावनापूर्ण स्क्रिप्ट वेब पेज के संदर्भ में निष्पादित होती है।

परिणाम: पीड़ित को 'XSS' संदेश वाला एक अलर्ट बॉक्स दिखाई देता है, जो दर्शाता है कि स्क्रिप्ट निष्पादित हो गई है। वास्तविक हमले में, दुर्भावनापूर्ण स्क्रिप्ट कुकीज़ चुराने, कीस्ट्रोक्स कैप्चर करने या उपयोगकर्ता को फ़िशिंग साइट पर रीडायरेक्ट करने जैसी गतिविधियां कर सकती है।

    var userInput = window.location.hash.substring(1);
    document.getElementById('message').innerHTML = "Hello, "   userInput   "!";
    // This results in: Hello, !
    // The alert will pop up

DOM-आधारित XSS को रोकना

DOM-आधारित XSS से बचाव के लिए, इन सर्वोत्तम प्रथाओं का पालन करें:

1. उपयोगकर्ता इनपुट को सेनिटाइज़ करें और एस्केप करें: किसी भी उपयोगकर्ता इनपुट को DOM में डालने से पहले हमेशा सेनिटाइज़ करें और एस्केप करें। HTML को स्वच्छ करने के लिए DOMPurify जैसी लाइब्रेरी का उपयोग करें।

2. सुरक्षित DOM हेरफेर विधियों का उपयोग करें: आंतरिक HTML का उपयोग करने के बजाय, textContent या createElement और appendChild जैसी सुरक्षित विधियों का उपयोग करें।

3. सामग्री सुरक्षा नीति (सीएसपी): उन स्रोतों को प्रतिबंधित करने के लिए एक मजबूत सीएसपी लागू करें जहां से स्क्रिप्ट लोड और निष्पादित की जा सकती हैं।

DOM-आधारित XSS एक गंभीर सुरक्षा जोखिम है जो आपके वेब एप्लिकेशन और उपयोगकर्ता डेटा से समझौता कर सकता है। उपयोगकर्ता इनपुट को साफ़ करने और उससे बचने, सुरक्षित DOM हेरफेर विधियों का उपयोग करने और एक मजबूत सामग्री सुरक्षा नीति को लागू करने जैसी सर्वोत्तम प्रथाओं का पालन करके, आप DOM-आधारित XSS हमलों के जोखिम को काफी कम कर सकते हैं।

सतर्क रहें और सुनिश्चित करें कि आपके जावास्क्रिप्ट एप्लिकेशन इन और अन्य कमजोरियों से सुरक्षित हैं। यदि आपके कोई प्रश्न हैं या आपको अतिरिक्त सहायता की आवश्यकता है, तो बेझिझक नीचे टिप्पणी में संपर्क करें।