എന്താണ് xss ?
ക്രോസ്സ് സൈറ്റ് സ്ക്രിപ്റ്റിങ് XSS എന്ന് അറിയപ്പെടുന്നു, ഇത് ഒരു സാധാരണ വെബ് ആപ്ലിക്കേഷൻ vulnerabilityanu, അത് ആക്രമണകാരി തന്റെ സ്വന്തം Client സൈഡ് സ്ക്രിപ്റ്റുകൾ (പ്രത്യേകിച്ച് ജാവാസ്ക്രിപ്റ്റ്) മറ്റ് ഉപയോക്താക്കൾ കണ്ട വെബ് പേജുകളിലേക്ക് പ്രവർത്തിപ്പിക്കാൻ അനുവദിക്കുന്നു
ഒരു സാധാരണ XSS ആക്രമണത്തിൽ, ഒരു ഹാക്കർ തന്റെ നിയമാനുസൃത ജാവാസ്ക്രിപ്റ്റ് കോഡിനെ നിയമാനുസൃത വെബ്സൈറ്റിൽ ഉൾപ്പെടുത്തുന്നു. ഒരു ഉപയോക്താവ് Infected or പ്രത്യേകമായി സൃഷ്ടിച്ചതോ ആയ ലിങ്ക് സന്ദർശിക്കുമ്പോൾ, അത് malicious ജാവാസ്ക്രിപ്റ്റ് നടപ്പിലാക്കും.(Execute).
വിജയകരമായി Exploit cheytha XSS vulnerability ആക്രമണകാരികളെ ഫിഷിംഗ് ആക്രമണങ്ങളും, അക്കൗണ്ടുകൾ മോഷ്ടിക്കാനും, വേമുകൾ ചെയ്യാൻ അനുവദിക്കും.
Types of XSS Based on persisting capability:
Based one Persistence capability, we can categorize the XSS attack into two types namely Persistent and Non-Persistent.
ഉദാഹരണം: , Gmail- ൽ ഒരു ഹാക്കർ XSS അപായസാധ്യത കണ്ടെത്തി, ദോഷകരമായ സ്ക്രിപ്റ്റ് പകർത്തുക. ഒരു ഉപയോക്താവ് സൈറ്റ് സന്ദർശിക്കുമ്പോൾ, അത് malicious സ്ക്രിപ്റ്റ് നടപ്പിലാക്കും. ഉപയോക്താക്കളെ വ്യാജ gmail പേജ് അല്ലെങ്കിൽ കുക്കികളെ പിടിച്ചെടുക്കുന്നതിന് ക്ഷുദ്രകരമായ കോഡ് ഉപയോഗിക്കാനാകും. ഈ മോഷ്ടിച്ച കുക്കികൾ ഉപയോഗിച്ച്, നിങ്ങളുടെ അക്കൌണ്ടിൽ പ്രവേശിച്ച് പാസ്വേഡ് മാറ്റാൻ കഴിയും.
*What can an attacker do with this Vulnerability?
Bypassing restriction in websites.
Session Hijacking(Stealing session)
Malware Attack
Website Defacement
Denial of Service attacks(Dos)
XSS ആക്രമണം:
ഘട്ടം 1: അപകടകരമായ വെബ്സൈറ്റിനെ കണ്ടെത്തൽ
ഹാക്കർമാർ ഗൂഗിൾ ഡോർക് ഉപയോഗിച്ചാണ് സൈറ്റുകളെ കണ്ടെത്തുന്നത്. “Search =” അല്ലെങ്കിൽ “.php? Q =”. Google തിരയൽ ഉപയോഗിക്കുന്നതിനുപകരം 1337 ടാർഗെറ്റ് നിർദ്ദിഷ്ട സൈറ്റുകൾ നിർദേശിക്കുന്നു. നിങ്ങളുടെ സ്വന്തം സൈറ്റ് പരിശോധിക്കാൻ പോകുകയാണെങ്കിൽ, നിങ്ങളുടെ സൈറ്റിലെ എല്ലാ പേജുകളും പ്രശ്നമുണ്ടാക്കുന്നതിന് വേണ്ടി നിങ്ങൾ പരിശോധിക്കേണ്ടതാണ്.
Check pic 1
ഘട്ടം 2: Testing Vulnerability
ഒന്നാമത്തേത്, നമ്മൾ ഒരു ഇൻപുട്ട് ഫീൽഡ് കണ്ടുപിടിക്കണം, അങ്ങനെ നമുക്കിത് സ്വന്തമായി സ്ക്രിപ്റ്റ് പകർത്താൻ കഴിയും, ഉദാഹരണത്തിന്: Search box,username, പാസ്വേഡ് അല്ലെങ്കിൽ മറ്റേതെങ്കിലും ഇൻപുട്ട് ഫീൽഡുകൾ.
Check pic 1
ടെസ്റ്റ് 1:
നമ്മൾ ഇൻപുട്ട് ഫീൽഡ് കണ്ടെത്തിയാൽ, ഫീൽഡിൽ ചില സ്ട്രിംഗ് ഇട്ട് നോക്കാം. ഉദാഹരണത്തിന്, എനിക്ക് “BTS” എന്ന് ടൈപ്പ് ചെയ്യാം. അത് ഫലം കാണിക്കും
Check pic 1
ടെസ്റ്റ് 2:
ഇപ്പോൾ സെർവർ ഞങ്ങളുടെ ഇൻപുട്ട് സാനിറ്റൈസ് ആണോ അല്ലയോ എന്ന് പരിശോധിക്കാൻ പോകുന്നു. ഇത് ചെയ്യുന്നതിന്, ഇൻപുട്ട് ഫീൽഡിൽ ഉള്ള <script> ടാഗിൽ ഇൻപുട്ട് ചെയ്യാം.
View the source of the page . Find the location where input displayed place in previous test.
Check pic 2
our code is not being sanitized by the server and the code is just same as what we entered in the field. If the server sanitize our input, the code may look like this <script>. This indicates that the website vulnerable to XSS attack and we can execute our own scripts .
ഘട്ടം 3: പ്രശ്നത്തെ ചൂഷണം ചെയ്യുക
ഇപ്പോൾ ഈ സൈറ്റ് XSS ആക്രമണത്തിന് അൽപം ദുർബലമാകുമെന്ന് ഞങ്ങൾക്കറിയാം. എന്നാൽ ഒരു മുഴുവൻ ജാവാസ്ക്രിപ്റ്റ് കോഡുപയോഗിച്ച് സൈറ്റിന് ഈ ആക്രമണത്തിന് പൂർണ്ണമായും കുഴപ്പമുണ്ടോ എന്ന് ഉറപ്പാക്കാൻ കഴിയാം. ഉദാഹരണത്തിന്, <script> alert (‘bts’) </ script> നമുക്ക് ഇൻപുട്ട് ചെയ്യാം
Check pic 2
ഇപ്പോൾ ഇത് ‘BTS’ സ്ട്രിംഗ് ഉപയോഗിച്ച് പോപ്പ്-അപ്പ് ബോക്സ് പ്രദർശിപ്പിക്കും. അവസാനമായി, ഞങ്ങൾ വിജയകരമായി XSS ഉപയോഗപ്പെടുത്തുന്നു. ഹാൻഡ്രഡ് സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡ് വിപുലീകരിക്കാൻ ഒരു ഹാക്കർ കുക്കികൾ മോഷ്ടിക്കാനോ സൈറ്റിനെ അപകീർത്തിപ്പെടുത്താനോ കഴിയും.
Pastehtml ഉപയോഗിച്ച് Defacement page:
ആദ്യം തന്നെ ചില defacement പേജ് (html) pastehtml ലേക്ക് അപ്ലോഡുചെയ്ത് ലിങ്ക് നേടുക.
നിങ്ങൾ ഒരു XSS അരക്ഷിത സൈറ്റ് കണ്ടെത്തുമ്പോൾ, സ്ക്രിപ്റ്റ് ഇതായി ചേർക്കുക:
<Script> window.location = “http://www.paste_html.com/Your_Defacement_link”; </ script>
ഈ സ്ക്രിപ്റ്റ് പേജ് നിങ്ങളുടെ പേസ്റ്റ്എഫ്എൽ എൻഹാൻസ്മെൻറ് പേജിലേക്ക് റീഡയറക്ട് ചെയ്യും..
Script for chaning the background Color of a website:
<script>document.body.bgColor=”red”;</script>
Script for chaning the background image of a website:
<script>document.body.background=”http://your_image.jpg“;</script>
ക്രോസ്സ് സൈറ്റ് സ്ക്രിപ്റ്റിങ് XSS എന്ന് അറിയപ്പെടുന്നു, ഇത് ഒരു സാധാരണ വെബ് ആപ്ലിക്കേഷൻ vulnerabilityanu, അത് ആക്രമണകാരി തന്റെ സ്വന്തം Client സൈഡ് സ്ക്രിപ്റ്റുകൾ (പ്രത്യേകിച്ച് ജാവാസ്ക്രിപ്റ്റ്) മറ്റ് ഉപയോക്താക്കൾ കണ്ട വെബ് പേജുകളിലേക്ക് പ്രവർത്തിപ്പിക്കാൻ അനുവദിക്കുന്നു
ഒരു സാധാരണ XSS ആക്രമണത്തിൽ, ഒരു ഹാക്കർ തന്റെ നിയമാനുസൃത ജാവാസ്ക്രിപ്റ്റ് കോഡിനെ നിയമാനുസൃത വെബ്സൈറ്റിൽ ഉൾപ്പെടുത്തുന്നു. ഒരു ഉപയോക്താവ് Infected or പ്രത്യേകമായി സൃഷ്ടിച്ചതോ ആയ ലിങ്ക് സന്ദർശിക്കുമ്പോൾ, അത് malicious ജാവാസ്ക്രിപ്റ്റ് നടപ്പിലാക്കും.(Execute).
വിജയകരമായി Exploit cheytha XSS vulnerability ആക്രമണകാരികളെ ഫിഷിംഗ് ആക്രമണങ്ങളും, അക്കൗണ്ടുകൾ മോഷ്ടിക്കാനും, വേമുകൾ ചെയ്യാൻ അനുവദിക്കും.
Types of XSS Based on persisting capability:
Based one Persistence capability, we can categorize the XSS attack into two types namely Persistent and Non-Persistent.
ഉദാഹരണം: , Gmail- ൽ ഒരു ഹാക്കർ XSS അപായസാധ്യത കണ്ടെത്തി, ദോഷകരമായ സ്ക്രിപ്റ്റ് പകർത്തുക. ഒരു ഉപയോക്താവ് സൈറ്റ് സന്ദർശിക്കുമ്പോൾ, അത് malicious സ്ക്രിപ്റ്റ് നടപ്പിലാക്കും. ഉപയോക്താക്കളെ വ്യാജ gmail പേജ് അല്ലെങ്കിൽ കുക്കികളെ പിടിച്ചെടുക്കുന്നതിന് ക്ഷുദ്രകരമായ കോഡ് ഉപയോഗിക്കാനാകും. ഈ മോഷ്ടിച്ച കുക്കികൾ ഉപയോഗിച്ച്, നിങ്ങളുടെ അക്കൌണ്ടിൽ പ്രവേശിച്ച് പാസ്വേഡ് മാറ്റാൻ കഴിയും.
*What can an attacker do with this Vulnerability?
Bypassing restriction in websites.
Session Hijacking(Stealing session)
Malware Attack
Website Defacement
Denial of Service attacks(Dos)
XSS ആക്രമണം:
ഘട്ടം 1: അപകടകരമായ വെബ്സൈറ്റിനെ കണ്ടെത്തൽ
ഹാക്കർമാർ ഗൂഗിൾ ഡോർക് ഉപയോഗിച്ചാണ് സൈറ്റുകളെ കണ്ടെത്തുന്നത്. “Search =” അല്ലെങ്കിൽ “.php? Q =”. Google തിരയൽ ഉപയോഗിക്കുന്നതിനുപകരം 1337 ടാർഗെറ്റ് നിർദ്ദിഷ്ട സൈറ്റുകൾ നിർദേശിക്കുന്നു. നിങ്ങളുടെ സ്വന്തം സൈറ്റ് പരിശോധിക്കാൻ പോകുകയാണെങ്കിൽ, നിങ്ങളുടെ സൈറ്റിലെ എല്ലാ പേജുകളും പ്രശ്നമുണ്ടാക്കുന്നതിന് വേണ്ടി നിങ്ങൾ പരിശോധിക്കേണ്ടതാണ്.
Check pic 1
ഘട്ടം 2: Testing Vulnerability
ഒന്നാമത്തേത്, നമ്മൾ ഒരു ഇൻപുട്ട് ഫീൽഡ് കണ്ടുപിടിക്കണം, അങ്ങനെ നമുക്കിത് സ്വന്തമായി സ്ക്രിപ്റ്റ് പകർത്താൻ കഴിയും, ഉദാഹരണത്തിന്: Search box,username, പാസ്വേഡ് അല്ലെങ്കിൽ മറ്റേതെങ്കിലും ഇൻപുട്ട് ഫീൽഡുകൾ.
Check pic 1
ടെസ്റ്റ് 1:
നമ്മൾ ഇൻപുട്ട് ഫീൽഡ് കണ്ടെത്തിയാൽ, ഫീൽഡിൽ ചില സ്ട്രിംഗ് ഇട്ട് നോക്കാം. ഉദാഹരണത്തിന്, എനിക്ക് “BTS” എന്ന് ടൈപ്പ് ചെയ്യാം. അത് ഫലം കാണിക്കും
Check pic 1
ടെസ്റ്റ് 2:
ഇപ്പോൾ സെർവർ ഞങ്ങളുടെ ഇൻപുട്ട് സാനിറ്റൈസ് ആണോ അല്ലയോ എന്ന് പരിശോധിക്കാൻ പോകുന്നു. ഇത് ചെയ്യുന്നതിന്, ഇൻപുട്ട് ഫീൽഡിൽ ഉള്ള <script> ടാഗിൽ ഇൻപുട്ട് ചെയ്യാം.
View the source of the page . Find the location where input displayed place in previous test.
Check pic 2
our code is not being sanitized by the server and the code is just same as what we entered in the field. If the server sanitize our input, the code may look like this <script>. This indicates that the website vulnerable to XSS attack and we can execute our own scripts .
ഘട്ടം 3: പ്രശ്നത്തെ ചൂഷണം ചെയ്യുക
ഇപ്പോൾ ഈ സൈറ്റ് XSS ആക്രമണത്തിന് അൽപം ദുർബലമാകുമെന്ന് ഞങ്ങൾക്കറിയാം. എന്നാൽ ഒരു മുഴുവൻ ജാവാസ്ക്രിപ്റ്റ് കോഡുപയോഗിച്ച് സൈറ്റിന് ഈ ആക്രമണത്തിന് പൂർണ്ണമായും കുഴപ്പമുണ്ടോ എന്ന് ഉറപ്പാക്കാൻ കഴിയാം. ഉദാഹരണത്തിന്, <script> alert (‘bts’) </ script> നമുക്ക് ഇൻപുട്ട് ചെയ്യാം
Check pic 2
ഇപ്പോൾ ഇത് ‘BTS’ സ്ട്രിംഗ് ഉപയോഗിച്ച് പോപ്പ്-അപ്പ് ബോക്സ് പ്രദർശിപ്പിക്കും. അവസാനമായി, ഞങ്ങൾ വിജയകരമായി XSS ഉപയോഗപ്പെടുത്തുന്നു. ഹാൻഡ്രഡ് സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡ് വിപുലീകരിക്കാൻ ഒരു ഹാക്കർ കുക്കികൾ മോഷ്ടിക്കാനോ സൈറ്റിനെ അപകീർത്തിപ്പെടുത്താനോ കഴിയും.
Pastehtml ഉപയോഗിച്ച് Defacement page:
ആദ്യം തന്നെ ചില defacement പേജ് (html) pastehtml ലേക്ക് അപ്ലോഡുചെയ്ത് ലിങ്ക് നേടുക.
നിങ്ങൾ ഒരു XSS അരക്ഷിത സൈറ്റ് കണ്ടെത്തുമ്പോൾ, സ്ക്രിപ്റ്റ് ഇതായി ചേർക്കുക:
<Script> window.location = “http://www.paste_html.com/Your_Defacement_link”; </ script>
ഈ സ്ക്രിപ്റ്റ് പേജ് നിങ്ങളുടെ പേസ്റ്റ്എഫ്എൽ എൻഹാൻസ്മെൻറ് പേജിലേക്ക് റീഡയറക്ട് ചെയ്യും..
Script for chaning the background Color of a website:
<script>document.body.bgColor=”red”;</script>
Script for chaning the background image of a website:
<script>document.body.background=”http://your_image.jpg“;</script>