برای سال‌های متمادی، خطرناک‌ترین ضعف امنیتی که در تعداد بسیار زیادی از سایت‌ها دیده می‌شد، تزریق کد اس‌کیوال یا SQL Injection بود اما به نظر می‌رسه این روزها، رتبه‌بندی تغییر کرده و xss داره جای خودش رو در صدر جدول به دست میاره. به صورت خلاصه اگر بخوام بگم، xss مشکلیه که به هکر اجازه می‌ده تا کدهای جاوا اسکریپت ناخواسته رو در مرورگر مراجعه‌کننده‌های سایت اجرا کنه. نتیجه اجرای این کدهای ناخواسته می‌تونه از دزدیدن دسترسی کاربر به سایت باشه تا توزیع بدافزار و هک کاربرهایی که به اون سایت خاص اطمینان دارند. این شیوه هک، به صورت غیر مستقیم می‌تونه منجر به نفوذ هکر به سایت هم بشه چون نباید فراموش کنیم که ادمین سایت هم مراجعه‌کننده با سایته اما با دسترسی بالاتر.

با شروع مسابقه خوانندگی شیکه من‌و‌تو و امکان ثبت رای از طریق وب‌سایت، انتظار می‌ره که بازدید این وب‌سایت رشد زیادی داشته باشه. نکته‌ای که می‌تونه هکرها رو به خودش جلب کنه. با یک نگاه گذرا به سایت manototv.com متوجه شدم که بخش جستحوی این سایت به خوبی بررسی نمی‌شه و امکان تزریق کد جاوا اسکریپت وجود داره. در تست نفوذهای اخیرم، تقریبا نیمی از سایت‌ها این نقص امنیتی رو داشتند و بسیاریشون، مشکل رو در فیلد جستحو داشتند. نمی‌دونم چرا اما به نظر می‌رسه که توسعه‌دهنده‌ها اهمیت چندانی برای این بخش قائل نیستند.

متاسفانه تجریه خوبی در گزارش ضعف امنیتی xss به مدیر سایت‌های پیشین نداشتم و اونها مشکل رو مربوط به کاربران می‌دونستند و فکر می‌کردند چون مستقیم باعث هک سایت نمی‌شه پس مهم نیست. در مورد سایت من‌و‌تو اینجوری نبود. من در تاریخ ۴ فوریه ۲۰۱۶ متوجه مشکل شدم و به مدیر سایت اطلاع اولیه رو دادم. ۵ فوریه فیلم نمونه سو استفاده رو فرستادم و تا ۶ فوریه مشکل برطرف شد.

در مورد فیلم شبیه‌سازی، گفتن دو نکته ضروریه:

۱. این فیلم اثبات، یک xss کلاسیک نیست بلکه من با استفاده از امکان تزریق کد، یک iframe رو به فیلد جستجو تزریق کردم و عملا تبدیلش کردم به یک حمله ترکیبی فیشینگ. iframe یک بازسازی از فرم لاگین به وب‌سایت من‌و‌تو بود با این فرق که اطلاعات وارد شده رو به سرور من می‌فرستاد. به این ترتیب من نام کاربری و پسورد هر کسی که فریب می‌خورد رو می‌تونستم به‌دست بیارم. این فیشینگ به این دلیل که در دامنه اصلی سایت و با حفظ https انجام می‌شه، امکان موفقیت هکر رو بسیار بالا می‌بره.

۲. شبیه‌سازی در مدت زمانی حدود ۱۰ دقیقه انجام شده و مسلما با وقت بیشتر، می‌تونست کیفیت بهتری داشته باشه اما از آنجاییکه هدف واقعا فریب کسی نبود و فقط قصد نشون دادن میزان خطر رو داشتم، وقت بیشتری صرفش نکردم.

جلوگیری از xss

سمت سایت:

• اصل اول در جلوگیری از تزریق کد و دستور، اعتبارسنجی و پاک‌سازی اطلاعات وارد شده است. برای مثال در بخش جستجو، نیازی به کاراکترهای < و یا > نیست معمولا.
• همه ورودی‌ها مهمند، حتی referrer و یا متغیر انتخاب زیان سایت.
• به فریمورک‌ها اطمینان کامل نداشته یاشید. مستندات فریمورک رو بخونید و ببینید کدام بخش از نکات امنیتی رو بر عهده توسعه‌دهنده گذاشته.
• امنیت کاربر به اندازه امنیت سایت مهمه. نیابد بین ضعفی مثل xss با نمونه‌هایی مانند SQL Injection و یا Code Injection که مستقیما باعث هک سایت می‌شن، فرق بگذارید.

سمت کاربر:

•  از مرورگرهای امن‌تر مانند firefox و یا google chrome استفاده کنید. مرورگرها رو به‌روز نگه دارید.
• استفاده از افزونه‌هایی که کار ذخیره و وارد کردن پسورد رو انجام می‌دن، می‌تونه در این زمان‌ها مفید باشه. lastpass می‌تونه گزینه خوبی باشه.
• در زمان ارسال اطلاعات کاربری، به ظاهر سایت اکتفا نکنید و آدرس فرم رو چک کنید. هرچند در نمونه‌ای که فیلمش رو گذاشتم، این بررسی راه به جایی نمی‌بره اما همه‌جا اینجور نیست.
• استفاده از افزونه‌ای مثل noscript می‌تونه مفید باشه، هرچند گاهی کاربری سایت رو سخت می‌کنه.
• ضدویروس و ضد بدافزار نصب کنید و همیشه به‌روز نگهش دارید. یک کد جاوا اسکریپت مخرب، می‌تونه حتی از طریق سایت‌های معتبر نیز توزیع بشه و عواقب گاها جبران‌ناپذیری داشته باشه.

پی‌نوشت

• این پست پس از اطمینان از حل مشکل و با اطلاع مدیر سایت من‌وتو منتشر شده.
• برای نمونه‌ای از توزیع بدافزار از طریق جاوا اسکریپت، این لینک رو مطالعه کنید.
  https://www.sophos.com/en-us/security-news-trends/security-trends/malicious-javascript.aspx