क्रॉस साइट स्क्रिप्टिंग क्या है?

गूगल ने जूम एप पर प्रतिबंध लगाया

जहां तालाबंदी के बीच जूम एप घर से काम करने वाले विभिन्न कर्मचारियों के बीच लोकप्रिय हुआ...

लिनक्स diff कमांड – एक परिचय

लिनक्स ऑपरेटिंग सिस्टम पर, diff कमांड दो फाइलों का विश्लेषण करती है और उन लाइनों को प्रिंट...

उबुण्टू लिनक्स 20.04 बीटा डाउनलोड करें

उबुण्टू लिनक्स 20.04 बीटा रिलीज अब डाउनलोड करने के लिए उपलब्ध है। इस बीटा संस्करण के माध्यम...

क्रॉस साइट स्क्रिप्टिंग से सीधा तात्पर्य किसी पृष्ठ पर जावास्क्रिप्ट को क्रियान्वित करने से है।

  • यदि कोई बाहरी जावास्क्रिप्ट आपके किसी पृष्ठ पर घुसकर क्रियान्वित हो सकती है तो वह कुकीज़ तक अपनी पहुंच बना सकती है।
  • और कुकीज़ पर पहुंच बनाने पर वह उस दौरान सक्रिय सत्रों (सेशन) तक भी पहुंच बना सकती है।
  • और यदि सत्रों (सेशन) तक पहुंच बन जाए तो वह किसी उपयोगकर्ता के पासवर्ड को भी बदल सकती है।

अब आप समझ सकते हैं कि क्रॉस साइट स्क्रिप्टिंग कितनी खतरनाक हो सकती है।

ये कैसे होता है?

किसी जालपृष्ठ में विभिन्न छिद्र होते हैं जहां से ब्राउज़र द्वारा सूचनाएं भेजी जाती हैं। उदाहरण के लिए :

१. फार्म द्वारा भेजा गया “पोस्ट या गेट डाटा”

२. गेट डाटा (जो कि एड्रेस बार से कुछ इस प्रकार भेजा जाता है index.aspx?id=4564645)

३. कुकीज़

इत्यादि।

इन छिद्रों द्वारा भेजी गई सूचनाओं पर पूरा भरोसा नही किया जा सकता है। इसलिए इनके द्वारा आने वाले आंकड़ों को पृष्ठ में दिखाने से पहले उनकी पूरी साफ सफाई कर लेनी चाहिए। चलिए सबसे पहले देखते हैं कि आखिर इन छिद्रों से गड़बड़ कैसे की जा सकती है:

एक पृष्ठ बनाते हैं: test.php

इसमें यह कोड लिखेंगे:

<?php

$myname = $_GET[“name”];

echo $myname;

?>

अब मान लीजिए कि इस पृष्ठ को हम इस प्रकार से ब्राउज़र से खोलें:

http://servername/test.php?name=ankur

तो हमें ब्राउज़र में यह दिखाई देगा:

अब यदि हम कुछ ऐसा अनुरोध भेजें तो:

http://servername/test.php?name=<script>alert(“hacked”);</script>

जावास्क्रिप्ट क्रियान्वित हो जाएगी। ऐसा इसलिए है क्योंकि हमने गेट अनुरोध के आंकड़ों की सफाई,छंटाई या उन्हे शुद्ध नही किय है। अब मान लीजिए कि उपरोक्त कोड में यदि हम echo $myname; के स्थान पर echo htmlspecialchars($myname); लिख दें तो

आप देख सकते हैं कि इस बार जावास्क्रिप्ट क्रियान्वित नही हुई। बल्कि वह कोड ब्राउज़र में दिखाई देने लगा।

यदि आप इस पृष्ठ का स्रोत कोड देखेंगे तो आपको कुछ इस प्रकार दिखाई देगा:

आप देख सकते हैं कि htmlspecialchars फंग्शन नें भेजे गए आंकड़ों को कम खतरनाक रूप में परिवर्तित कर दिया, जिससे वह जावास्क्रिप्ट क्रियान्वित नही हुई।

यहां मैंने समझाने के उद्देश्य से एक बहुत ही सरल उदाहरण लिया था। असल दुनिया में आपको और भी स्रोतों से आने वाले आंकड़ों को साफ सुथरा करने के पश्चात उपयोग करना होगा।

क्रॉस साइट स्क्रिप्टिंग (संक्षेप में XSS) के जरिए बड़े बड़ों की साइटों की ऐसी तैसी हो जाती है। साइमनटेक के अनुसार अंतर्जाल के अस्सी फीसदी जालस्थलों को क्रॉस साइट स्क्रिप्टिंग के जरिए ही हैक किया जाता है।

इसके विषय में और जानने के लिए इन कड़ियों को देख सकते हैं:

http://en.wikipedia.org/wiki/Cross-site_scripting

http://www.houbysoft.com/papers/xss.php

http://projects.webappsec.org/w/page/13246920/Cross-Site-Scripting

गूगल ने जूम एप पर प्रतिबंध लगाया

जहां तालाबंदी के बीच जूम एप घर से काम करने वाले विभिन्न कर्मचारियों के बीच लोकप्रिय हुआ...

लिनक्स diff कमांड – एक परिचय

लिनक्स ऑपरेटिंग सिस्टम पर, diff कमांड दो फाइलों का विश्लेषण करती है और उन लाइनों को प्रिंट करती है जो अलग-अलग होती...

उबुण्टू लिनक्स 20.04 बीटा डाउनलोड करें

उबुण्टू लिनक्स 20.04 बीटा रिलीज अब डाउनलोड करने के लिए उपलब्ध है। इस बीटा संस्करण के माध्यम से विभिन्न उत्साही परीक्षक इसमें...

लिनक्स कमांड लाइन से इंटरनेट की गति कैसे नापें?

यह जानने के लिए कि हमारा इंटरनेट सेवाप्रदाता हमें उसी गति का इंटरनेट प्रदान कर रहा है जिसका उसने वचन दिया था...

माइक्रोसॉफ्ट नें विंडोज 10 के नए यूआई बदलावों का वीडियो जारी किया

माइक्रोसॉफ्ट के विंडोज 10 ऑपरेटिंग सिस्टम ने इस सप्ताह की शुरुआत में एक बिलियन सक्रिय उपयोगकर्ताओं को पार किया था, और कंपनी...

More Articles Like This