पायथन पेनेट्रेशन टेस्टिंग - XSS वेब अटैक
क्रॉस-साइट स्क्रिप्टिंग हमले एक प्रकार के इंजेक्शन हैं जो क्लाइंट-साइड कोड इंजेक्शन हमले का भी उल्लेख करते हैं। यहां, दुर्भावनापूर्ण कोड को एक वैध वेबसाइट में इंजेक्ट किया जाता है। समान उत्पत्ति नीति (एसओपी) की अवधारणा क्रॉस-साइट स्क्रिप्टिंग की अवधारणा को समझने में बहुत उपयोगी है। हर वेब ब्राउज़र में SOP सबसे महत्वपूर्ण सुरक्षा प्रिंसिपल है। यह वेबसाइटों को दूसरे मूल वाले पृष्ठों से सामग्री प्राप्त करने से मना करता है। उदाहरण के लिए, वेब पेज www.tutorialspoint.com/index.html सामग्री को एक्सेस कर सकता हैwww.tutorialspoint.com/contact.htmlलेकिन www.virus.com/index.html सामग्री तक नहीं पहुंच सकता हैwww.tutorialspoint.com/contact.html। इस तरह, हम कह सकते हैं कि क्रॉस-साइट स्क्रिप्टिंग एसओपी सुरक्षा नीति को दरकिनार करने का एक तरीका है।
XSS अटैक के प्रकार
इस भाग में, हमें विभिन्न प्रकार के XSS हमले के बारे में जानें। हमले को निम्नलिखित प्रमुख श्रेणियों में वर्गीकृत किया जा सकता है -
- लगातार या संग्रहीत XSS
- गैर-लगातार या परिलक्षित XSS
लगातार या संग्रहीत XSS
इस तरह के एक्सएसएस हमले में, एक हमलावर एक स्क्रिप्ट को इंजेक्ट करता है, जिसे पेलोड के रूप में संदर्भित किया जाता है, जो स्थायी रूप से लक्ष्य वेब एप्लिकेशन पर संग्रहीत होता है, उदाहरण के लिए डेटाबेस के भीतर। यही कारण है, इसे लगातार XSS हमला कहा जाता है। यह वास्तव में XSS हमले का सबसे हानिकारक प्रकार है। उदाहरण के लिए, एक दुर्भावनापूर्ण कोड एक हमलावर द्वारा एक ब्लॉग या फोरम पोस्ट में टिप्पणी क्षेत्र में डाला जाता है।
गैर-लगातार या परिलक्षित XSS
यह सबसे सामान्य प्रकार का XSS अटैक है जिसमें हमलावर के पेलोड को अनुरोध का हिस्सा बनना होता है, जिसे वेब सर्वर को भेजा जाता है और परिलक्षित किया जाता है, इस तरह से HTTP प्रतिक्रिया में HTTP अनुरोध से पेलोड शामिल होता है। यह एक गैर-लगातार हमला है क्योंकि हमलावर को प्रत्येक पीड़ित को पेलोड देने की आवश्यकता होती है। इस तरह के XSS हमलों का सबसे आम उदाहरण फ़िशिंग ईमेल हैं जिनकी मदद से हमलावर पीड़ित को उस सर्वर के लिए अनुरोध करने के लिए आकर्षित करता है जिसमें XSS पेलोड और ब्राउज़र के अंदर परिलक्षित और निष्पादित होने वाली स्क्रिप्ट को निष्पादित करता है। ।
उदाहरण
SQLi के रूप में ही, XSS वेब हमलों को अनुप्रयोग में इनपुट डेटा में हेरफेर करके लागू किया जा सकता है। निम्नलिखित उदाहरणों में, हम XSS वेब हमले का परीक्षण करने के लिए SQLI अटैक वैक्टर को संशोधित कर रहे हैं, जो पिछले अनुभाग में किया गया था। नीचे दी गई पायथन लिपि XSS हमले का उपयोग करने का विश्लेषण करने में मदद करती हैmechanize -
के साथ शुरू करने के लिए, हम आयात करते हैं mechanize मापांक।
import mechanize
अब, फ़ॉर्म सबमिट करने के बाद प्रतिक्रिया प्राप्त करने के लिए URL का नाम प्रदान करें।
url = input("Enter the full url")
attack_no = 1
हमें फ़ाइल से आक्रमण वैक्टर को पढ़ने की आवश्यकता है।
With open (‘vectors_XSS.txt’) as x:
अब हम प्रत्येक क्रैक वेक्टर के साथ अनुरोध भेजेंगे -
For line in x:
browser.open(url)
browser.select_form(nr = 0)
browser[“id”] = line
res = browser.submit()
content = res.read()
कोड की निम्नलिखित पंक्ति मुद्रित हमले के वेक्टर की जांच करेगी।
if content.find(line) > 0:
print(“Possible XSS”)
कोड की निम्न पंक्ति आउटपुट फ़ाइल की प्रतिक्रिया लिख देगी।
output = open(‘response/’ + str(attack_no) + ’.txt’, ’w’)
output.write(content)
output.close()
print attack_no
attack_no += 1
XSS तब होता है जब उपयोगकर्ता इनपुट बिना किसी सत्यापन के प्रतिक्रिया के लिए प्रिंट करता है। इसलिए, XSS हमले की संभावना की जांच करने के लिए, हम हमारे द्वारा दिए गए हमले के वेक्टर के लिए प्रतिक्रिया पाठ की जांच कर सकते हैं। यदि हमला वेक्टर किसी भी भागने या सत्यापन के बिना प्रतिक्रिया में मौजूद है, तो XSS हमले की उच्च संभावना है।