واژه XSS مخفف Cross-site scripting، نوعی از آسیب پذیریست که در برنامههای تحت وب نمود پیدا میکند. به طور کلی و خلاصه، این آسیب پذیری به فرد نفوذ کننده اجازه تزریق اسکریپتهایی را به صفحات وب، میدهد که در سمت کاربر اجرا میشوند ( Client Side scripts ) . در نهایت این اسکریپتها توسط سایر افرادی که از صفحات مورد هدف قرار گرفته بازدید میکنند اجرا خواهد شد.
هدف از این نوع حمله :
بدست آوردن اطلاعات کوکیها و سشنهای کاربران ( مرتبط با آدرسی که صفحه آلوده شده در آن قرار دارد ) است. سپس فرد نفوذ کننده متناسب با اطلاعات بدست آمده میتواند به اکانت شخصی کاربران مورد هدف قرار گرفته، نفوذ کرده و از اطلاعات شخصی آنها سوء استفاده کند .
به صورت کلی دو طبقه بندی برای انواع حملات Cross-site scripting وجود دارند.
حملات XSS ذخیره سازی شده ( Stored XSS Attacks ) :
در این نوع ، کدهای مخرب تزریق شده، در سرور سایت قربانی ذخیره میشوند. محل ذخیره سازی میتواند دیتابیس سایت یا هر جای دیگری که دادهها توسط سایت یا برنامه تحت وب بازیابی میشوند و نمایش داده میشوند باشد. اما اینکه چگونه کدهای مخرب در منابع یاد شده ذخیره میشوند؟
فرض کنید در سایت جاری آسیب پذیری مذکور وجود دارد. راههای ارسال دادهها به این سایت چیست؟ نویسندگان میتوانند مطلب ارسال کنند و کاربران میتوانند نظر دهند. حال اگر در یکی از این دو بخش بررسیهای لازم جهت مقابله با این آسیب پذیری وجود نداشته باشد و نوشتههای کاربران که میتواند شامل کدهای مخرب باشد مستقیما در دیتابیس ذخیره شده و بدون هیچ اعتبار سنجی نمایش داده شود چه اتفاقی رخ خواهد داد؟ مسلما با بازدید صفحه آلوده شده، کدهای مخرب بر روی مرورگر شما اجرا و کوکیهای سایت جاری که متعلق به شما هستند برای هکر ارسال میشود و ...
حملات XSS منعکس شده ( Reflected XSS Attacks ) :
در این نوع از حمله، هیچ نوع کد مخربی در منابع ذخیره سازی وبسایت یا اپلیکیشن تحت وب توسط فرد مهاجم ذخیره نمیشود ! بلکه از ضعف امنیتی بخشهایی همچون بخش جستجو وب سایت، بخشهای نمایش پیغام خطا و ... استفاده میشود ... اما به چه صورت؟
در بسیاری از سایتها، انجمنها و سیستمهای سازمانی تحت وب، مشاهده میشود که مثلا در بخش جستجو، یک فیلد برای وارد کردن عبارت جستجو وجود دارد. پس از وارد کردن عبارت جستجو و submit فرم، علاوه بر نمایش نتایج جستجو، عبارت جستجو شده نیز به نمایش گذاشته میشود و بعضا در بسیاری از سیستمها این عبارت قبل از نمایش اعتبار سنجی نمیشود که آیا شامل کدهای مخرب میباشد یا خیر. همین امر سبب میشود تا اگر عبارت جستجو شامل کدهای مخرب باشد، آنها به همراه نتیجهی جستجو اجرا شوند.
اما این موضوع چگونه مورد سوء استفاده قرار خواهد گرفت؟ مگر نه اینکه این عبارت ذخیره نمیشود پس با توضیحات فوق، کد فقط بر روی سیستم مهاجم که کد جستجو را ایجاد میکند اجرا میشود، درست است؟ بله درست است ولی به نقطه ضعف زیر توجه کنید ؟
www.test.com/search?q=PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==
این آدرس حاصل submit شدن فرم جستجو وبسایت test (نام وبسایت واقعی نیست و برای مثال است ) و ارجاع به صفحه نتایج جستجو میباشد. در واقع این لینک برای جستجوی یک کلمه یا عبارت توسط این وبسایت تولید شده و از هر کجا به این لینک مراجعه کنید عبارت مورد نظر مورد جستجو واقع خواهد شد. در واقع عبارت جستجو به صورت Base64 به عنوان یک query String به وبسایت ارسال میشود؛ علاوه بر نمایش نتایج، عبارت جستجو شده نیز به کاربر نشان داده شده و اگر آسیب پذیری مورد بحث وجود داشته باشد و عبارت شامل کدهای مخرب باشد، کدهای مخرب بر روی مرورگر فردی که این لینک را باز کرده اجرا خواهد شد!
در این صورت کافیست فرد مهاجم لینک مخرب را به هر شکلی به فرد مورد هدف بدهد ( مثلا ایمیل و ... ). حال در صورتیکه فرد لینک را باز کند (با توجه به اینکه لینک مربوط به یک سایت معروف است و عدم آگاهی کاربر از آسیب پذیری موجود در لینک، باعث باز کردن لینک توسط کاربر میشود)، کدها بر روی مرورگرش اجرا شده و کوکیهای سایت مذکور برای مهاجم ارسال خواهد شد ... به این نوع حمله XSS ، نوع انعکاسی میگویند که کاملا از توضیحات فوق الذکر، دلیل این نامگذاری مشخص میباشد.
اهمیت مقابله با این حمله :
برای نمونه این نوع باگ حتی تا سال گذشته در سرویس ایمیل یاهو وجود داشت. به شکلی که یکی از افراد انجمن hackforums به صورت Private این باگ را به عنوان Yahoo 0-Day XSS Exploit در محیط زیر زمینی و بازار سیاه هکرها به مبلغ چند صد هزار دلار به فروش میرساند. کاربران مورد هدف کافی بود تا فقط یک ایمیل دریافتی از هکر را باز کنند تا کوکیهای سایت یاهو برای هکر ارسال شده و دسترسی ایمیلهای فرد قربانی برای هکر فراهم شود ... ( در حال حاظر این باگ در یاهو وجو ندارد ).
چگونگی جلوگیری از این آسیب پذیری
در این سری از مقالات کدهای پیرامون سرفصلها و مثالها با ASP.net تحت فریم ورک MVC و به زبان C# خواهند بود. هر چند کلیات مقابله با آسیب پذیری هایی از این دست در تمامی زبانها و تکنولوژیهای تحت وب یکسان میباشند.
خوشبختانه کتابخانهای قدرتمند برای مقابله با حمله مورد بحث وجود دارد با نام AntiXSS که میتوانید آخرین نسخه آن را با فرمان زیر از طریق nugget به پروژه خود اضافه کنید. البته ذکر این نکته حائز اهمیت است که Asp.net و فریم ورک MVC به صورت توکار تا حدودی از بروز این حملات جلوگیری میکند. برای مثال به این صورت که در View ها شما تا زمانی که از MvcHtmlString استفاده نکنید تمامی محتوای مورد نظر برای نمایش به صورت Encode شده رندر میشوند. این داستان برای Url ها هم که به صورت پیش فرض encode میشوند صدق میکند. ولی گاها وقتی شما برای ورود اطلاعات مثلا از یک ادیتور WYSWYG استفاده میکنید و نیاز دارید دادهها را بدون encoding رندر کنید. آنگاه به ناچار مجاب بر اعمال یک سری سیاستهای خاصتر بر روی داده مورد نظر برای رندر میشوید و نمیتوانید از encoding توکار فوق الذکر استفاده کنید. آنگاه این کتابخانه در اعمال سیاستهای جلوگیری از بروز این آسیب پذیری میتواند برای شما مفید واقع شود.
PM> Install-Package AntiXSS
… var reviewContent = model.UserReview; reviewContent = Microsoft.Security.Application.Encoder.HtmlEncode(review); …
امیدوارم در اولین بخش از این سری مقالات، به صورت خلاصه مطالب مهمی که باعث ایجاد فهم کلی در رابطه با حملات Xss وجود دارد، برای دوستان روشن شده و پیش زمینه فکری برای مقابله با این دست از حملات برایتان به وجود آمده باشد.
public void Init(HttpApplication app)
{
app.BeginRequest += new EventHandler(OnBeginRequest);
}
public void Dispose(){ } | BeginRequest | این رویداد اولین رویدادی است که اجرا میشود، هر نوع عملی که میخواهید در ابتدای ارسال درخواست انجام دهید، باید در این قسمت قرار بگیرد؛ مثلا قرار دادن یک بنر بالای صفحه |
| AuthenticateRequest | خود دانت از یک سیستم امنیتی توکار بهره مند است و اگر میخواهید در مورد آن خصوصی سازی انجام بدهید، این رویداد میتواند کمکتان کند |
| AuthorizeRequest | بعد از رویداد بالا، این رویداد برای شناسایی انجام میشود. مثلا دسترسی ها؛ دسترسی به قسمت هایی خاصی از منابع به او داده شود و قسمت هایی بعضی از منابع از او گرفته شود. |
| ResolveRequestCache | این رویداد برای کش کردن اطلاعات استفاده میشود. خود دانت تمامی این رویدادها را به صورت تو کار فراهم آورده است؛ ولی اگر باز خصوصی سازی خاصی مد نظر شماست میتوانید در این قسمتها، تغییراتی را اعمال کنید. مثلا ایجاد file caching به جای memory cache و ... |
| AcquireRequestState | این قسمت برای مدیریت state میباشد مثلا مدیریت session ها |
| PreRequestHandlerExecute | این رویداد قبل از httphandler اجرا میشود. |
| PostRequestHandlerExecute | این رویداد بعد از httphandler اجرا میشود. |
| ReleaseRequestState | این رویداد برای این صدا زده میشود که به شما بگوید عملیات درخواست پایان یافته است و باید stateهای ایجاد شده را release یا رها کنید. |
| UpdateRequestCache | برای خصوصی سازی output cache بکار میرود. |
| EndRequest | عملیات درخواست پایان یافته است. در صورتیکه قصد نوشتن دیباگری در طی تمامی عملیات دارید، میتواند به شما کمک کند. |
| PreSendRequestHeaders | این رویداد قبل از ارسال طلاعات هدر هست. اگر قصد اضافه کردن اطلاعاتی به هدر دارید، این رویداد را به کار ببرید. |
| PreSendRequestContent | این رویداد موقعی صدا زده میشود که متد response.flush فراخوانی شود.، اگر میخواهید به محتوا چیزی اضافه کنید، از اینجا کمک بگیرید. |
| Error | این رویداد موقعی رخ میدهد که یک استثنای مدیریت نشده رخ بدهد. برای نوشتن سیستم خطایابی خصوصی از این قسمت عمل کنید. |
| Disposed | این رویداد موقعی صدا زده میشود که درخواست، بنا به هر دلیلی پایان یافته است. برای عملیات پاکسازی و .. میشود از آن استفاده کرد. مثلا یک جور rollback برای کارهای انجام گرفته. |
public class UrlPath : IHttpModule
{
public void Init(HttpApplication app)
{
app.BeginRequest+=new EventHandler(_BeginRequest);
app.EndRequest+=new EventHandler(_EndRequest);
}
public void Dispose()
{
}
void _BeginRequest(object sender, EventArgs e)
{
HttpApplication app = (HttpApplication) sender;
app.Context.Items["start"] = DateTime.Now;
if (app.Context.Request.RawUrl.ToLower().Contains("tours_list.aspx"))
{
app.Context.RewritePath(app.Context.Request.RawUrl.ToLower().Replace("tours_list.aspx","tours_cat.aspx"));
}
}
void _EndRequest(object sender, EventArgs e)
{
HttpApplication app = (HttpApplication)sender;
string log = (DateTime.Now - DateTime.Parse(app.Context.Items["start"].ToString())).ToString();
Debugger.Log(0,"duration","request took " + log+Environment.NewLine);
}
} <httpModules>
<add name="UrlPath" type="UrlPath"/>
</httpModules> <system.webServer>
<modules>
<add name="UrlRewrite" type="UrlRewrite"/>
</modules>
</system.webServer> <validation validateIntegratedModeConfiguration="false"/>
A function for loading CSS asynchronously
Referencing CSS stylesheets with link[rel=stylesheet] or @import causes browsers to delay page rendering while a stylesheet loads. When loading stylesheets that are not critical to the initial rendering of a page, this blocking behavior is undesirable. The new <link rel="preload"> standard enables us to load stylesheets asynchronously, without blocking rendering, and loadCSS provides a JavaScript polyfill for that feature to allow it to work across browsers. Additionally, loadCSS offers a separate (and optional) JavaScript function for loading stylesheets dynamically.
npm install fg-loadcss --save
ما در AngularJs آبجکتی را به نام q$ داریم که برای اجرای توابع به صورت async مفید است و همچنین در استفاده از مقادیر برگشتی از این درخواستها برای پردازشهای آینده به ما کمک میکند. برای اطلاعات بیشتر در مورد این سرویس به اینجا مراجعه کنید.
در ادامه ما از تابع ()all از q$ برای ترکیب چند شیء promise داخل یک شیء promise، به منظور صدا زدن چند سرویس به صورت یکجا، استفاده میکنیم.
قدم اول : Visual Studio را بازکنید و یک پروژه empty ASP.NET Web API را مطابق شکل زیر ایجاد کنید.
using System.Collections.Generic;
namespace NG_Combine_Multiple_Promises.Models
{
public class Courses
{
public int CourseId { get; set; }
public string CourseName { get; set; }
}
public class CourseDatabase : List<Courses>
{
public CourseDatabase()
{
Add(new Courses() { CourseId=1,CourseName="الکترونیک"});
Add(new Courses() { CourseId = 2, CourseName = "ریاضی 2" });
Add(new Courses() { CourseId = 3, CourseName = "طراحی نرم افزار" });
}
}
public class Student
{
public int StudentId { get; set; }
public string Name { get; set; }
public string AcadmicYear { get; set; }
}
public class StudentDatabase : List<Student>
{
public StudentDatabase()
{
Add(new Student() {StudentId=101,Name="محمد علوی",
AcadmicYear="اول" });
Add(new Student() { StudentId = 102, Name = "طاهره موسوی",
AcadmicYear = "دوم" });
Add(new Student() { StudentId = 103, Name = "علی عباسی",
AcadmicYear = "سوم" });
Add(new Student() { StudentId = 104, Name = "جواد نوری",
AcadmicYear = "اول" });
Add(new Student() { StudentId = 105, Name = "محسن خدایی",
AcadmicYear = "دوم" });
Add(new Student() { StudentId = 106, Name = "علی کاظمی",
AcadmicYear = "سوم" });
Add(new Student() { StudentId = 107, Name = "زهرا مقدم",
AcadmicYear = "اول" });
Add(new Student() { StudentId = 108, Name = "لاله فکور",
AcadmicYear = "دوم" });
Add(new Student() { StudentId = 109, Name = "علی نوروزی",
AcadmicYear = "چهارم" });
}
}
} کد بالا شامل موجودیتهای Courses و Student است و کلاسهای CourseDatabase و StudentDatabase به ترتیب برای ذخیره این موجودیتها است.
قدم سوم : بستهی نیوگت Microsoft.AspNet.WebAPi.Cors را با استفاده از NuGet Package Manager، به منظور فعال سازی امکان صدا زدن این وب سرویس از دامنههای مختلف، به پروژه اضافه کرده و کد زیر را در کلاس WebApiCofig در پوشه App_Start قرار دهید.
config.EnableCors();
قدم چهارم : دو کنترل از نوع Web API 2 Empty را با نامهای CourseAPIController و StudentAPIController ایجاد کرده و کدهای زیر را در آنها قرار دهید.
CourseAPIController.cs
[EnableCors("*","*","*")]
public class CourseAPIController : ApiController
{
[Route("Courses")]
public IEnumerable<Courses> Get()
{
return new CourseDatabase();
}
} StudentAPIController.cs
[EnableCors("*", "*", "*")]
public class StudentAPIController : ApiController
{
[Route("Students")]
public IEnumerable<Student> Get()
{
return new StudentDatabase();
}
}
استفاده از Angular $q.all
قدم اول : پروژهی جدیدی را از نوع Empty ASP.NET در همین solution اضافه کرده و ارجاعات jQuery, Bootstrap و AngularJS را با استفاده از NuGet Package manager مانند زیر اضافه کنید:
Install-Package jQuery Install-Package bootstrap Install-Package angularjs
قدم دوم : پوشهایی را به نام MyScripts ایجاد کرده و درون آن فایل javascript زیر را با نام logic.js اضافه کنید:
var app = angular.module('mymodule', []);
//سرویسی برای بازگرداندن لیست دروس
app.service('courseService', function ($http) {
this.get = function () {
var response = $http.get("http://localhost:11696/Courses");
return response;
};
});
//سرویسی برای بازگرداندن لیست دانشجویان
app.service('studentService', function ($http) {
this.get = function () {
var response = $http.get("http://localhost:11696/Students");
return response;
};
});
//تعریف کنترلر
app.controller('ctrl', function ($scope, $q, courseService, studentService) {
$scope.Courses = [];
$scope.Students = [];
loadData();
/**/
function loadData() {
var promiseCourse = courseService.get();
var promiseStudent = studentService.get();
$scope.combineResult = $q.all([
promiseCourse,
promiseStudent
]).then(function (resp) {
$scope.Courses = resp[0].data;
$scope.Students = resp[1].data;
});
}
}); <!DOCTYPE html>
<html ng-app="mymodule">
<head>
<title></title>
<meta charset="utf-8" />
<link href="../Content/bootstrap.min.css" rel="stylesheet" />
<script src="../Scripts/jquery-3.2.1.min.js"></script>
<script src="../Scripts/angular.min.js"></script>
<script src="../MyScripts/logic.js"></script>
</head>
<body ng-controller="ctrl">
<div class="container">
<h1 class="h1">دروس</h1>
<table class="table table-striped table-bordered table-condensed">
<thead>
<tr>
<td class="text-center">کد درس</td>
<td class="text-center">نام درس</td>
</tr>
</thead>
<tbody>
<tr ng-repeat="Course in Courses">
<td class="text-center">{{Course.CourseId}}</td>
<td class="text-center">{{Course.CourseName}}</td>
</tr>
</tbody>
</table>
<hr />
<h1 class="h1">دانشجویان</h1>
<table class="table table-striped table-bordered table-condensed">
<thead>
<tr>
<td class="text-center">کد دانشجویی</td>
<td class="text-center">نام و نام خانوادگی</td>
<td class="text-center">سال دانشجویی</td>
</tr>
</thead>
<tbody>
<tr ng-repeat="Student in Students">
<td class="text-center">{{Student.StudentId}}</td>
<td class="text-center">{{Student.Name}}</td>
<td class="text-center">{{Student.AcadmicYear}}</td>
</tr>
</tbody>
</table>
</div>
</body>
</html> 
1.کش کردن همیشه آخرین حربه میباشد
2.حذف View Engineهای غیر ضروری
ViewEngines.Engines.Clear(); ViewEngines.Engines.Add(new RazorViewEngine());
ViewEngines.Engines.Clear(); ViewEngines.Engines.Add(new WebFormViewEngine());
3. استفاده از فایلهای PDB مایکروسافت برای دیباگ و یا پروفایل کردن DLLهای دیگران
{
"name": "testwebapp",
"version": "1.0.0",
"description": "",
"scripts": {},
"author": "",
"license": "ISC",
"dependencies": {
"bootstrap": "^3.3.7",
"jquery": "^2.2.4",
"jquery-ajax-unobtrusive": "^3.2.4",
"jquery-validation": "^1.17.0",
"jquery-validation-unobtrusive": "^3.2.8"
}
} [
{
"outputFileName": "wwwroot/css/site.min.css",
"inputFiles": [
"node_modules/bootstrap/dist/css/bootstrap.min.css",
"wwwroot/css/site.css"
]
},
{
"outputFileName": "wwwroot/js/site.min.js",
"inputFiles": [
"node_modules/jquery/dist/jquery.min.js",
"node_modules/jquery-validation/dist/jquery.validate.min.js",
"node_modules/jquery-validation-unobtrusive/dist/jquery.validate.unobtrusive.min.js",
"node_modules/jquery-ajax-unobtrusive/jquery.unobtrusive-ajax.min.js",
"node_modules/bootstrap/dist/js/bootstrap.min.js",
"wwwroot/js/site.js"
],
"minify": {
"enabled": true,
"renameLocals": true
},
"sourceMap": false
}
] <!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<title>@ViewData["Title"] - DNTCommon.Web.Core.TestWebApp</title>
<link href="~/css/site.min.css" rel="stylesheet" asp-append-version="true" />
</head>
<body>
<div>
@RenderBody()
</div>
<script src="~/js/site.min.js" type="text/javascript" asp-append-version="true"></script>
@RenderSection("Scripts", required: false)
</body>
</html> <Project Sdk="Microsoft.NET.Sdk.Web">
<Target Name="PrecompileScript" BeforeTargets="BeforeBuild">
<Exec Command="dotnet bundle" />
</Target>
<ItemGroup>
<DotNetCliToolReference Include="BundlerMinifier.Core" Version="2.6.362" />
</ItemGroup>
</Project> <!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<meta name="viewport" content="width=device-width" />
<title>@ViewBag.Title</title>
<link href="~/Content/PersianDatePicker.css" rel="stylesheet" />
</head>
<body>
@RenderBody()
<script src="~/Scripts/jquery-1.10.2.min.js"></script>
<script src="~/Scripts/PersianDatePicker.js"></script>
@RenderSection("Scripts", required: false)
</body>
</html> @using System.Globalization
@model DateTime?
@{
Func<DateTime, string> toPersianDate = date =>
{
var dateTime = new DateTime(date.Year, date.Month, date.Day, new GregorianCalendar());
var persianCalendar = new PersianCalendar();
return persianCalendar.GetYear(dateTime) + "/" +
persianCalendar.GetMonth(dateTime).ToString("00") + "/" +
persianCalendar.GetDayOfMonth(dateTime).ToString("00");
};
var today = toPersianDate(DateTime.Now);
var name = this.ViewContext.ViewData.ModelMetadata.PropertyName;
var value = Model.HasValue ? toPersianDate(Model.Value) : string.Empty;
}
<input type="text" dir="ltr"
name="@name" id="@name"
value="@value"
onclick="PersianDatePicker.Show(this,'@today');" /> // Location: Views\Shared\EditorTemplates\PersianDatePicker.cshtml
[UIHint("PersianDatePicker")]
public DateTime AddDate { set; get; } <div>
<label>تاریخ:</label>
@Html.EditorFor(model => model.AddDate)
</div> 