Tuesday 29 December 2009

ඕපදූප සහ ක්‍රොස් සයිට් ස්ක්‍රිප්ටින්

මාස තුනක් උනා අන්තිමට post එකක් දාලා.

ඔය සුලු කාලෙට උබන්ටු 9.10 relese උනා, ssh ආයෙත් වතාවක් දනින් වැටුනා( https:( ), සුප්‍රසිද්ධ Shaolin Temple website එක සති දෙකක් ඇතුලත පිට පිට තුන් පාරක් hacker attacks වලට ලක් උනා, Twitter එකේ user password එක වෙනස් කලාට පස්සෙත් 3rd party application වලට account එක access කරන්න පුලුවන් flow එකක් තිබිලා හොයාගත්තා, ලාවට හිම වැටුනා, iPhoneවලට බැන බැන හිටපු änthräXට iPhone user කෙනෙක් වෙන්න සිද්ධ උනා, änthräX ඇටයා කාලේ කසනවට ලියපු විද්‍යා ප්‍රබන්ධ තියන පොතකක් änthräX ගේ මලයා විසින් හොයාගන තිබුනා, යස අගේට foss වෙලා හිටපු HD Moore කොලුවව Rapid7 එකේ වැඩට ගත්තා (ඒකත් කාල ඇදල ඉන්න එපැයි), Internet Explorer 8 වල 0day එකක් leek උනා (ඕකත් නිව්ස් ද, හැමදාම වෙන එකනේ), SBU කට්ටිය මුණගැහුනා, änthräXගේ රාජකාරි ආයතනයට ලියපු gigantic pain in the @$$ project එකේ white box testing ඉවර උනා, sherlock Holmes movie එක release උනා සහ තව තව දේවල් අම්බානක් උනා.

වැඩි විස්තර කියන්න කලින් ඔන්න කට්ටියටම ලබන්නා වූ 2010, කිරියෙන් පැණියෙන් ඉතිරෙන(ආවඩා..), සිහින සැබෑ වෙන(ආවඩා..),crushes->relationships වෙන(ආවඩා..), interviews->jobs වෙන(ආවඩා..), අම්බානට වෙරි වෙන(ආවඩා..), පඩි වැඩි වෙන(ආවඩා..), promotions හම්බෙන(ආවඩා..), විභාග පාස් වෙන(ආවඩා..) ඉටිම ඉටිකිරිස් අවුරුද්දක් වේවා කියලා සුබ ප්‍රාර්ථනා කරනවා.

දෙයියනේ කියල පොඩ්ඩක් වේගෙන් කර කර හිටපු සිංහලෙන් ටයිප් කෙරුවාව ආයෙත් හොදටම "කෝ කෝ" වෙලා. ඒ මදිවට ලියාගෙන ආපු එක දැන් මතක නෑ.

XSS
ක්‍රොස් සයිට් ස්ක්‍රිප්ටින් කියලා කතාවක් ඔයාල අහල ඈතුවට කිසිම සැකයක් නෑ. අර අවුරුදු එකහමාරකට විතර උඩදි facebook ට ඇදගන නාන්න සිද්ධ උනේ? අපි හුගදෙනෙක් tinyurl, tr.im වගේ සේවාවන් වලට බරපතල විදියට ඈබ්බැහි වෙලා ඉන්න නිසා සහ තමන්ගේ බ්ලොග් තමන්ම host කරගෙන maintain කරන අයට පොඩි අදහස් ටිකක් දෙන්න හිතාගෙන තමයි මේ ලිපිය ලියන්නේ. (සහ වෙන ලියන්න දෙයක් ඔලුවට ආවෙ නැති නිසා)

යාලුවෙක් ගෙ post එකකට comment එකක් දාද්දි < a > </a> පාවිච්චි කරලා link එකක් දාන්න අපි හැමෝම දන්නව නේද? gmail වල password එක save කරල තියෙද්දි javascript: alert(document.getElementById('Passwd').value); කියලා password එක බලන්නත් දන්නව නේද? ඔය දෙක එකතු කලොත් මොකද වෙන්නෙ කියලා හිතුවද?? හරි හරි, වෙන page එකක ඉදන් තව page එකක password එකක් බලාගන්න බෑ තමයි. නමුත් account එකකට log වෙන්න username සහ password ඕනමද?

1. log වෙන්න ඔයාගෙ gmail account එකට
2. click කරන්න inbox එකේ තියන කැමති mail එකක්
3. address bar එකේ තියන address එක select කරලා ctrl+c ගහන්න (copy කරගන්න)
4. දැන් gmail tab එක close කරන්න. (log out වෙන්න එපා)
5. ctrl+t ගහලා (වෙන tab එකක් අරන්) address bar එකේ ctrl+v ගහන්න(paste කරන්න)

tab එක close කරන්න කලින් බල බල හිටපු mail එක එහෙමම පේනවා නේද? (IE6 නම් පාවිච්චිය, browser එක close කරලා open කලත් page එක පේන්න ඕනා)

එහෙම වෙන්නේ කොහොමද? band width save කරන්න සහ page loading speed එක වැඩි කරන්න web pages වල පාවිච්වි කරන cookies කියලා ජාතියක් ගැන අහල තියනව නේද?
එයා කරන්නේ නැවත භාවිතාකලහැකි ආකාරයේ දත්ත, පරිශීලකයාගේ පරිඝණයේ රදවාගන්න එක. එහම තියනකොට පරිශිලකයා එකම තොරතුර ආයෙත් ඉල්ලපුවහම browser එක කරන්නේ server එකත් client එකත් අතර තියන session එක valid ද කියලා බලන එක. අපි log out උනේ නෑ නේ. එහෙම උනාම server එක එකතරා කාලයක් තිස්සේ session එක validව තියාගන්නවා. ඒ කාල පරාසය ඇතුලත අපි අර session ID එකත් එක්ක request එකක් යැව්වොත් කතා දෙකක් නෑ server එක අපිට authorized connection එකක් දෙනවා. ඕහොම කරනවට තමයි සිංහල භාෂාවෙ "session hijacking" කියන පදය යොදාගැනෙන්නෙ.

වැඩේ පැහැදිලි කරන්න gmail ගාවගත්තට practical attack එකක් නම් මේ විදියට කරන්න අමාරුයි, මොකද google මේ වගේ දේවල් වේනන්න තියන ඉඩ අහුරලයි තියෙන්නෙ. නමුත් ඔයා පොදු තැනක ඉදන් internet access කරනවා නම් මේ වගේ message එකක් ආවොත්, එතනින් එහාට නොයන එක ඈගට ගුණයි.


කතන්දරේ තියරිය ඕකයි. ඕක practically implement කරන්න නම් ඉතින් blog එකක, forum එකක, guest book එකක flow එකක් හොයාගන්න වෙයි. ;)
(උනන්දුවන් සදහා පමනයි: පරණ බඩු මෙතනින් හොයාගන්න)

facebookට වෙලා තිබුනෙ, ඔයාට ඔයාගෙ යාලුවගෙ wall එකේ ලියන්න පුලුවන්කම තිබ්බා script එකක් එක්ක, කිසිම කරදරයක් නැතිව එයාගේ cookies ටික ඔයාට ලැබෙන්න.

------හොද පුරුදු-------
1. IE වෙනුවට firefox පාවිච්චි කරන්න. firefox දිරවන්නෙ නැතිනම් chromeවත්.
2. firefox වල update එකක් තියනව කියලා message එකක් ආවොත් හිත හිත ඉන්නෙ නැතුව update කරන්න.
3. firefox වල edit->preferences (windows නම් tools->options) ගිහින් privacy tab එකේ "firefox will" කියලා තියන drop down list box එකෙන් "use custom settings for history" තෝරලා "accept third party cookies" වලට යටින් තියන "keep until" කියලා තියන drop down list box එකේ "i close firefox" කියලා තෝරන්න.
4. කිසිම site එකකට log වෙනකොට browser එකට username/password එක save කරන්න දෙන්න එපා.
5. මොකක් හරි site එකකට certification error එකක් ආවොත්, හොදටම දන්නවනම් මිසක් exception එකක් add කරන්න එපා. (පොදු ස්ථානයක ඉදන් Internet access කරනව නම් කොහොමටවත් certificate exception එකක් add කරන්න එපා)
6.තමන්ගේ ලිපියකට image එකක් add කරද්දි කවදාවත් වෙන site එකක තියන image එකකට point කරන්න එපා. image එක download කරගෙන ඔයාගේ site එකට හරි, ඔයාගෙ picasa account එකට හරි upload කරලා පාවිච්චි කරන්න.
7. tinyurl හරි trim වගේ link එකක වගේම සාමාන්‍ය දිග url එකක උනත් click කරපුවහම message box එකක් ආවොත් උවමනාවෙන් ඒ දිහෑ බලන්න ආපු message එක genuine එකක් ද crafted එකක්ද කියලා.
8. තමන් ගේ site එකේ blog එකක්, forum එකක්, guest book එකක් තියනව නම් අලුත් updates/patches දාලා ආරක්ශිතව තියාගන්න. user කෙනෙක්ට use කරන්න පුලුවන් tags සීමා කරන්න. XSS කරන කෙනෙක්ට ඔයාගෙ site එක අතකොලුවක් කරගන්න දෙන්න ඒපා.
9. page එකක කොහේ හරි වහපු නැති tags තියනවද කියල විමසිලිමත් වෙන්න.
10. තමන් ඉගනගත්තු දෙයක් තව කෙනෙක්ට යහපතක් කරන්න මිස හානියක් කරන්න යොදාගන්න ඒපා. දන්න දෙයක් බෙදාගන්න මැලි වෙන්න එපා.

සුපුරුදු අපැහැදිලි ගතියට සමා වෙලා ප්‍රශ්ණ තියනව නම් අහන්න.

ආයුබෝ වේවා..

එලවන්නට කලින්

ආයිබොන්ඩලා..

sbu එක පැත්තෙ එන්න බැරි උනා හෙන කාලෙකින්. තාම පණ පිටින්ද බලලා mail කරපු දුකා, පොතේ ගුරා, රොයිලි ඇතුලු හැමෝටම ඉස්තූතී. සති එකහමාරක ඉදලා බ්ලොග් කියව කියව හිටියෙ කික් එක ගන්න. රනා එවපු mail එකක් කියවලා මරණ බයෙන් ගැහි ගැහී තමයි මේ පෝස්ට් එක දාන්නේ, මාව sbu එකෙන් එලවන්න කලින්. හෙටින් "සද්ද නැතිව ඉන්න පුලුවන් මාස තුන" ඉවරයි. ලියන්න දෙයක් හිතලා ලියනකන් මාව එලවන්න එපෝ...

P.S.
දන්න කෙනෙක් ඉන්නවනම් කියනවද රනා කොයි ඉස්කෝලෙ ප්‍රින්සිපල් ද කියලා...