نگاهی دوباره به حملات XSS

هکرها در حمله سایبری تزریق اسکریپت از طریق وبسایت ([1]XSS) کد مخرب را در یک فرم وب یا لینک اپلیکیشن تحت وب تزریق می‌کنند. این کد مخرب که به یک زبان اسکریپت‌نویسی مثل جاوا اسکریپت یا PHP نوشته شده اقدامات مخرب بسیار زیادی مثل ایجاد خرابکاری در وب‌سایتی که قصد بارگذاری آن را دارید و سرقت کلمه عبور یا سایر اعتبارنامه‌های کاربری را انجام می‌دهد.

وب‌سایت‌های امروزی معمولاً در هنگام بارگذاری، با اجرای یکسری کد در خود مرورگر ایجاد می‌شوند. حملات XSS نیز از این ویژگی وب‌سایت‌ها سوءاستفاده می‌کنند. در نتیجه پیشگیری از چنین حملاتی چندان ساده نیست.

حملات XSS چگونه اجرا می‌شوند؟

همه افراد می‌توانند یک وب‌سایت حاوی کدهای مخرب طراحی کنند. در حمله تزریق اسکریپت از طریق وب‌سایت، مهاجم شرایط را به‌گونه‌ای تنظیم می‌کند که وقتی قربانی وارد وب‌سایت شخص دیگری می‌شود، کدهای مهاجم اجرا گردد. حملات XSS می‌توانند این اقدامات مخرب را بدون نیاز به دسترسی سطح بالا به وب سرور وب‌سایت برای تزریق کد در آن، انجام دهند. در این روش مهاجمان از شیوه عملکرد صفحات وب امروزی سوءاستفاده می‌کنند.

به طور کلی نحوه عملکرد صفحات وب به شرح زیر است:

شخصی که قصد ایجاد یک صفحه وب را دارد، یک سند HTML که بر روی یک سرور وب بارگذاری می‌شود ایجاد می‌نماید. وقتی کاربری قصد دسترسی به این صفحه را داشته باشد، نشانی سرور را در مرورگر کامپیوتر خود درج می‌کند و مرورگر هم با استفاده از این نشانی کد HTML را دانلود و آن را تفسیر می‌کند تا برای کاربر یک نسخه از صفحه وب ایجاد نماید.

البته در این توضیح ساده‌سازی شده، یکسری از جنبه‌های صفحات وب امروزی نادیده گرفته شدند. برای مثال صفحات وب امروزی معمولاً پویا هستند. بنابراین برای همه بازدیدکنندگان وب‌سایت یک کد HTML ثابت و ایستا نمایش داده نشده و این کد به صورت پویا و زنده و بر اساس اطلاعات موجود در پایگاه داده سرور، هنگام ارایه درخواست دسترسی توسط مرورگر ساخته می‌شود. صفحاتی که توسط مرورگر از سرور دریافت می‌شوند معمولاً بستگی به اطلاعاتی دارند که در درخواست مرورگر ارسال می‌گردند. این اطلاعات ممکن است به صورت پارامتر در URL مورد استفاده برای دسترسی به وب‌سایت درج ‌شوند. وب‌سایت‌ها همچنین نه تنها شامل کدهای HTML و CSS که نحوه نمایش و تحلیل متون و گرافیک‌ها را نمایش می‌دهند بلکه شامل کدهای اجرایی هم هستند. این کدهای اجرایی به زبان‌های اسکریپت نویسی و اغلب جاوا اسکریپت نوشته می‌شوند. کارشناسان امنیتی معتقدند که ترکیب داده‌ها، فایل‌های نمایشی و کدهای اجرایی به این روش از جمله عوامل اصلی تهدید امنیت وب هستند.

در حمله XSS، هکرها از این تعامل بین کاربر و وب‌سایت برای اجرای کدهای مخرب بر روی سیستم کاربر سوءاستفاده می‌کنند. برای مثال URL زیر را در نظر بگیرید:

https://www.google.com/search?q=CSO+online

پس از نوشتن این نشانی در نوار آدرس مرورگر، نتایج جستجوی عبارت CSO Online در گوگل را مشاهده می‌کنید به گونه‌ای که ظاهراً عبارت CSO Online را در نوار جستجوی مرورگر یا صفحه اصلی وب‌سایت گوگل درج کرده باشید. همچنین مشاهده می‌کنید که این عبارت در بخش‌های مختلف صفحه از جمله نوار جستجوی بالای صفحه نشان داده می‌شود.

فرض کنید که به جای عبارت ساده و بی‌خطر CSO Online، نشانی نوشته شده توسط شما حاوی یک کد جاوااسکریپت مخرب باشد مثل:

https://www.google.com/search?<script>doEvil()</script>

در اینجا ()doEvil به صورت فرضی به جای یک تابع مخرب قرار گرفته است. در این حالت، گوگل باید به جای نمایش عبارت CSO Online در صفحه حاصل از درج این نشانی، کدهای مخرب ذکر شده را در پردازش صفحه استفاده کند. به این ترتیب این اسکریپت مخرب در مرورگر شما ایجاد شده و پیامدهای ناخوشایندی به همراه خواهد داشت. البته گوگل با استخدام کارشناسان حرفه‌ای امنیت وب و جهت پیشگیری از وقوع چنین حملاتی تدابیر امنیتی خاصی را پیاده‌سازی کرده ولی همه وب‌سایت‌ها چنین نیروهایی را در اختیار ندارند. بنابراین گاهی اوقات این حملات با موفقیت اجرا می‌شوند.

حملات XSS

انواع حملات XSS شامل حملات منعکس شده، حملات مبتنی بر DOM، حملات ذخیره شده هستند. در ادامه این حملات را مورد بررسی قرار می‌دهیم.

حملات منعکس شده: حمله‌ای که پیش از این توضیح دادیم، حمله منعکس شده یا غیرپایدار نام دارد. در این حملات معمولاً کد جاوا اسکریپت مخرب از مرورگر قربانی به سمت گوگل ارسال و سپس دوباره به شکل اجرایی منعکس شده و به صورت همیشگی و پایدار بر روی سرورهای گوگل ذخیره نمی‌شود. چنین حملاتی معمولاً یک کلاهبرداری فیشینگ محسوب می‌شوند. در این حملات لینک مخرب از طریق ایمیل یا پیامک برای قربانی ارسال می‌شود.

حملات مبتنی بر DOM: این حملات نوع خاصی از حملات منعکس شده هستند و نامگذاری آنها بر اساس مدل شی سند (DOM[2]) که یک API استاندارد می‌باشد صورت گرفته است. این API شیوه ساختن صفحات وب از روی کدهای HTML یا جاوااسکریپت را مشخص می‌کند. حملات مبتنی بر DOM معمولاً مشابه حملات منعکس شده هستند که پیش از این درباره آنها صحبت کردیم. البته در این حملات کدهای مخرب برای سرور ارسال نمی‌شوند بلکه در قالب پارامتر به یک تابع جاوا اسکریپت که در خود مرورگر اجرا می‌گردد ارسال می‌شوند در نتیجه سازوکارهای دفاعی سمت سرور قادر به حفاظت از کاربران نیستند.

حملات ذخیره شده: این حملات که آخرین نوع حملات XSS هستند اگرچه ظاهراً ساده می‌باشند ولی می‌توانند مخاطرات امنیتی جدی را ایجاد کنند. در حمله ذخیره شده، مهاجم می‌تواند از امکانات تعاملی وب‌سایت استفاده نموده و کدهای مخربی را بر روی سرور وب ذخیره کند. در یکی از نمونه‌های رایج این حمله، مهاجم یک نظر که حاوی کدهای مخرب جاوا اسکریپت است را برای یک مطلب وبلاگی درج می‌کند. به این ترتیب دفعه بعد که این صفحه بارگذاری شود، کدهای مخرب درج شده در دیدگاه مدنظر اجرا می‌گردند.

آسیب‌پذیری XSS

اگر یک برنامه کاربردی تحت وب ورودی‌هایی را که از کاربر دریافت می‌کند بررسی نکرده و کدهای مخرب موجود در آنها را تشخیص ندهد و سپس از این ورودی‌ها برای پردازش یک صفحه وب یا اجرای عملیات دیگر استفاده کند، در برابر حملات XSS آسیب‌پذیر خواهد بود.

مبحث «سیاست منشأ یکسان» از جمله جنبه‌های مهم امنیت وب است که بر اساس آن اسکریپتی که بر روی یک صفحه اجرا می‌شود فقط در صورتی می‌تواند به داده‌های موجود در صفحه دیگر دسترسی یابد که هر دو صفحه منشأ یکسانی داشته باشند (این منشأ به صورت ترکیبی از یک طرح URL، نام میزبان و شماره پورت تعریف می‌شود). اگر کدهای مخرب جاوا اسکریپت بتوانند در حین دسترسی قربانی به یک وب‌سایت اجرا شوند، مرورگر به این کدها مجوز دسترسی به داده‌های صفحات دیگری که منشأ یکسانی با صفحه آسیب‌پذیر دارند، می‌دهد. چنین کد جاوا اسکریپتی می‌تواند به کوکی‌ها و سایر اطلاعات نشست جاری دسترسی پیدا کند که همین دسترسی‌ها برای نفوذ به حساب‌های کاربری کافی هستند.

پی‌لودهای XSS

در رابطه با بدافزارها، پی لود به کدهای اجرایی گفته می‌شود که کارهای دلخواه مهاجمان را انجام می‌دهند. در حمله XSS، پی لود کد اسکریپتی است که مهاجم موفق شده مرورگر قربانی را تشویق به اجرای آن کند.

مخزن payloadbox در گیت‌هاب شامل فهرستی از پی لودهای XSS نمونه است. اگر با جاوا اسکریپت آشنایی داشته باشید می‌توانید با بررسی این کدها با طرز کار مهاجمان XSS آشنا شوید اما حملات XSS بسیار فراتر از درج کردن یک پی لود در یک URL هستند. در واقع مهاجم باید برای اجرای طرح خودش با طرز کار و آسیب پذیری‌های صفحه‌ای که به دنبال نفوذ به آن است، آشنا باشد.

پیشگیری و حفاظت در برابر حملات XSS

اگر مدیر یا طراح یک برنامه کاربردی تحت وب یا یک سایت تعاملی هستید، مهم‌ترین تکنیک‌هایی که می‌توانید برای مقابله با حملات تزریق اسکریپت از طریق سایت اجرا کنید، به این ترتیب هستند:

• پاکسازی ورودی‌ها: راهکار طبیعی و اصلی برای پیشگیری از ارسال کدهای مخرب به عنوان ورودی، عدم پذیرش اسکریپت‌ها به عنوان ورودی است. ممکن است شما هم با روش‌های خاصی ورودی‌ها را فیلتر کنید اما انجام این کار در عمل خیلی ساده نیست چون بعضی از کدهای اجرایی که با دقت و مهارت طراحی شده‌اند قابلیت عبور از فیلترها را دارند. یکی از روش‌های مقابله با این مسئله استفاده از فهرست سفید به جای فهرست سیاه است مثلاً به جای اینکه سعی کنید همه کدهای مخرب را فیلتر کنید، برنامه کاربردی را به صورتی بنویسید که داده‌ها را فقط در قالب‌های مشخص شده (مثل شماره تلفن، آدرس ایمیل و غیره) دریافت کند.
• رد کردن خروجی: در این روش از جهتی متفاوت به این مسئله رسیدگی می‌شود. اگر یک برنامه کاربردی تحت وب داده‌های وارد شده توسط کاربر را به یک صفحه وب ارسال می‌کند، این داده‌ها باید به خوبی فیلتر شوند تا در صفحه وب مورد نظر تبدیل به کد اجرایی نشوند. اگر کاربر کد تگ‌های HTML را به عنوان ورودی وارد می‌کند، برنامه کاربردی شما باید از کاراکترهای رد کردن (escape) استفاده کند طوری که این تگ‌ها در صفحه خروجی ایجاد شده به صورت متن نمایان شوند و در کدهای HTML صفحه ادغام نشوند.
• استاندارد سیاست امنیت محتوا (CSP[3]): CSP هم از روش فهرست سفید استفاده می‌کند و فقط متن‌ها را به عنوان ورودی قبول می‌کند نه کدهای قابل اجرا. در واقع برنامه کاربردی تحت وب شما هرگز نباید هیچ کدی را اجرا کند مگر اینکه شما آن را مجاز اعلام کرده باشید.

آزمون XSS

آزمون شناسایی آسیب‌پذیری‌های XSS یکی از مهم‌ترین تدابیر برای حفظ امنیت برنامه‌های کاربردی تحت وب است که پروژه OWASP راهنمای جامعی برای انجام این کار دارد. همچنین این پروژه منبعی پر از کدهای حملات XSS دارد که می‌توانند از فیلترهای دفاعی XSS خاصی عبور کنند. این منابع برای اجرای تست نفوذ بسیار مفید هستند.

مقایسه XSS و CSRF

جعل درخواست از طریق وبسایت (CSRF[4]) از جمله حملاتی است که مثل XSS مرورگر کاربر را هدف می‌گیرد. تفاوت اصلی این دو حمله از این جهت است که CSRF از نشست احراز هویت شده کاربر سوءاستفاده می‌کند (برای مثال وقتی کاربر وارد حساب بانکی خودش شده باشد) اما برای اجرای XSS نیازی به یک نشست احراز هویت شده وجود ندارد.

فرض کنید که همزمان وارد حساب توئیتر و حساب بانکداری آنلاین خودتان شده باشید و بر روی یک لینک توئیتر مثل لینک زیر کلیک می‌کنید:

http://www.yourbank.com/sendmoney,do?from=you&to=attacker&amount=5000

بسته به اینکه بانک شما توکن‌های نشست را چگونه مدیریت می‌کند و از چه مرورگری استفاده می‌کنید، ممکن است دچار مشکل شوید. XSS مسیر حمله خطرناک‌تری است اما دفاع و حفاظت در برابر هر دو حمله اهمیت زیادی دارد.

حملات مشهور و جدید XSS

یکی از اولین و مشهورترین حملات تزریق اسکریپت از طریق سایت در سال 2005 صورت گرفت زمانی که یکی از کاربران مای اسپیس به نام Samy Kamkar متوجه شد که می‌تواند در حساب کاربری خودش یک کد جاوا اسکریپت تزریق کند تا هر شخصی که از صفحه او بازدید می‌کند، به صورت خودکار به فهرست دوستان او اضافه شود – همچنین او می‌توانست با کپی کردن این کد در پروفایل این دوستان جدید کاری کند که بازدیدکنندگان صفحه او هم جزء دوستان خودش شوند. به این ترتیب این کاربر توانست ظرف 24 ساعت بیش از یک میلیون کاربر را به فهرست دوستان خودش اضافه کند تا حدی که مای اسپیس مجبور شد برای حل این مشکل سایت خودش را برای مدتی از دسترس خارج کند.

این کرم که به اسم Samy شناخته می‌شود به طور کلی بی ضرر بود اما بعد از آن حملات مخرب دیگری هم اجرا شدند:

• Ebay سال‌ها آسیب پذیری‌های XSS داشت که هکرها با استفاده از آن می‌توانستند اعتبارنامه‌های کاربری را سرقت کنند.
• در سال 2019 مهاجمان XSS توانستند از بازیکنان بازی فورتنایت پول مجازی سرقت کنند.
• در سال 2018 گروه هکر Magecart توانست با اجرای حمله XSS بر ضد شرکت هواپیمایی بریتانیا، هویت صدها هزار کاربر را سرقت کند.

تزریق اسکریپت از طریق وبسایت همچنان یک تهدید مهم محسوب می‌شود. از سال 2021 آسیب پذیری‌های XSS مختلفی در پلتفرم ایمیل Zimbra، وردپرس و پلتفرم مدیریت فناوری اطلاعات متن باز Nagios شناسایی شدند. بعلاوه هکرها معمولاً فقط از یک تکنیک استفاده نمی‌کنند و مثلاً تزریق اسکریپت از طریق سایت بخشی از یکی از حملات پیچیده جدید است که با استفاده از گواهینامه‌های TLS به نام ALPACA اجرا می‌شوند. بنابراین برای پیشگیری از دردسرهای مهم و بزرگ باید مطمئن شوید که آسیب پذیری XSS در سایت شما وجود ندارد.

[1] Cross-site scripting

[2] Document Object Model

[3] Content Security Policy

[4] cross-site request forgery

منبع: csoonline