Computer >> कंप्यूटर >  >> प्रोग्रामिंग >> HTML

सामग्री स्पूफिंग

<घंटा/>

कंटेंट स्पूफिंग एक ऐसा शब्द है जिसका इस्तेमाल दुर्भावनापूर्ण प्रोग्रामर्स द्वारा हमले के प्रकार को परिभाषित करने के लिए किया जाता है जिसमें वे टेक्स्ट इंजेक्शन या एचटीएमएल इंजेक्शन द्वारा उपयोगकर्ता के लिए एक नकली वेबसाइट को वैध के रूप में पेश करते हैं। जब कोई वेब एप्लिकेशन खोज आदि का उपयोग करके उपयोगकर्ता द्वारा प्रदान किए गए डेटा को ठीक से संभाल नहीं पाता है, तो हमलावर ऐसी स्थिति का लाभ उठा सकता है और अतिरिक्त मापदंडों को इंजेक्ट कर सकता है जो उपयोगकर्ता द्वारा किसी का ध्यान नहीं जाता है। यह दूसरे वेब पेज पर लैंडिंग की ओर ले जाता है जो मूल वेबपेज जैसा दिखता है। वह पृष्ठ उपयोगकर्ता से ऐसी जानकारी इनपुट करने के लिए कह सकता है जो गोपनीय है और जारी होने पर गंभीर नुकसान पहुंचा सकती है।

दो बुनियादी प्रकार के इंजेक्शन हैं

  • एचटीएमएल इंजेक्शन
  • पाठ इंजेक्शन

एचटीएमएल इंजेक्शन

  • हमलावर को संवेदनशील वेब एप्लिकेशन मिल जाता है।
  • हमलावर किसी भी तरह से संशोधित URL उपयोगकर्ता को भेजता है, आमतौर पर ईमेल के माध्यम से। ThisURL में टेक्स्ट इंजेक्ट किया गया है।
  • यूआरएल पर क्लिक करने से उपयोगकर्ता हमलावरों के वेबपेज पर पहुंच जाता है, जो वैध लगता है।
  • उपयोगकर्ता ने उपयोगकर्ता नाम, पासवर्ड, कार्ड पिन आदि जैसी जानकारी मांगी।
  • यह जानकारी हमलावर सर्वर पर स्थानांतरित हो जाती है।

उदाहरण

कुछ साइटें html सामग्री को यूआरएल में पैरामीटर के रूप में भी पास करती हैं, आमतौर पर एक डिव टैग के अंदर। यह एक बड़ी भेद्यता का कारण बनता है।

www.testing.com/siteAdcontent?divMessage=

यहां क्लिक करें!!

इसे −

. के रूप में संशोधित करना संभव है

www.testing.com/siteAdcontent?divMessage= <हैक>

क्लिक न करें!!

<हैक>

टेक्स्ट इंजेक्शन

  • हमलावर को संवेदनशील वेब एप्लिकेशन मिल जाता है।
  • हमलावर URL में दिए गए पैरामीटर के मानों को संशोधित करता है।
  • विकृत पृष्ठ अनुरोध लिंक हमलावर सर्वर को भेजा जाता है।
  • एक वैध वेब पेज अब मापदंडों के अनुसार गलत जानकारी दिखाता है।
  • तब होता है जब संदेश अनुरोध पैरामीटर के माध्यम से पारित किया जाता है।

उदाहरण

www.testing.com/loginAction?userName=abc&password=123 के रूप में जोड़ा जा सकता है

www.testing.com/loginAction?errorMessage=PasswordEmpty यह नया url उपयोगकर्ताओं को एक ऐसे पृष्ठ पर ले जा सकता है जो झूठी सामग्री प्रदर्शित करता है और उपयोगकर्ता को ठेस पहुँचा सकता है।


  1. HTML DOM स्टाइल ऑब्जेक्टफ़िट प्रॉपर्टी

    HTML DOM स्टाइल ऑब्जेक्टफ़िट प्रॉपर्टी वापस आती है और संशोधित करती है कि किसी HTML दस्तावेज़ में एक छवि या वीडियो तत्व को उसके कंटेनर तत्व में फिट करने के लिए कैसे आकार दिया जाना चाहिए। सिंटैक्स निम्नलिखित वाक्य रचना है - 1. रिटर्निंग ऑब्जेक्टफ़िट object.objectFit 2. ऑब्जेक्ट फ़िट को संशोधित करना

  1. HTML ऑनव्हील इवेंट विशेषता

    HTML ऑनव्हील ईवेंट विशेषता तब ट्रिगर होती है जब उपयोगकर्ता HTML दस्तावेज़ में HTML तत्व पर माउस का पहिया घुमाता है। सिंटैक्स निम्नलिखित वाक्य रचना है - <tagname onwheel=”script”>Content</tagname> आइए हम HTML ऑनव्हील ईवेंट विशेषता का एक उदाहरण देखें - उदाहरण <!DOCTYPE htm

  1. MongoDB में कोड इंजेक्शन

    मूल रूप से 5 मार्च 2019 को प्रकाशित अगर आप एप्लिकेशन डेवलपर, डेटाबेस एडमिनिस्ट्रेटर (डीबीए), या टेक्नोलॉजिस्ट के किसी भी फ्लेवर के हैं, तो कोड इंजेक्शन आपके रडार पर होना चाहिए। आपके पास एक सुरक्षित क्लाउड वातावरण है। आपके पास डेटाबेस एक्सेस लॉक डाउन है। लेकिन आपके आवेदन कोड के बारे में क्या?यद्य