क्रॉस साइट स्क्रिप्टिंग (XSS) दुर्भावनापूर्ण इरादे से उपयोगकर्ता की जानकारी एकत्र करने के लिए एक वास्तविक वेबसाइट पर दुर्भावनापूर्ण कोड जोड़ने की प्रक्रिया है। XSS हमले वेब अनुप्रयोगों में पाई जाने वाली सुरक्षा कमजोरियों के माध्यम से संभव हैं और आमतौर पर क्लाइंट-साइड स्क्रिप्ट को इंजेक्ट करके उनका शोषण किया जाता है। हालांकि जावास्क्रिप्ट आमतौर पर कार्यरत है, कुछ हमलावर वीबीस्क्रिप्ट, एक्टिवएक्स या फ्लैश का भी उपयोग करते हैं।
जब एक XSS भेद्यता का सफलतापूर्वक शोषण किया जाता है, तो सर्वर अनुप्रयोग गंभीर रूप से बड़े जोखिमों के संपर्क में आ सकता है। उदाहरण के लिए, गतिशील रूप से जेनरेट किए गए पृष्ठों को देखते समय उपयोगकर्ताओं को दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करने में धोखा दिया जा सकता है। एक अन्य संभावना में एक हमलावर शामिल होता है जो संबंधित सत्र कुकी समाप्त होने से पहले उपयोगकर्ता सत्र लेता है। एक अन्य मामले में, निर्दोष उपयोगकर्ताओं को दुर्भावनापूर्ण सर्वर से जोड़ा जा सकता है।
व्यावहारिक रूप से सभी परिदृश्यों में, पीड़ित के विशेषाधिकारों का उपयोग करके पीड़ित के सिस्टम पर हमला किया जाता है। इसके बाद हमले खाते के अपहरण, कुकी चोरी, झूठे विज्ञापन और पीड़ित के खाते की उपयोगकर्ता सेटिंग में संशोधन के रूप में विकसित हो सकते हैं।
XSS कारनामों के जोखिमों को कम करने का एक तरीका ब्राउज़र में सक्रिय स्क्रिप्टिंग को बंद करना है। दुर्भाग्य से, यह गतिशील वेबसाइटों को निष्पादित करने के लिए ब्राउज़र की क्षमता को भी छीन लेता है और अधिकांश उपयोगकर्ताओं के लिए एक यथार्थवादी समाधान नहीं है।
0 Comments