Tuesday 29 December 2009

ඕපදූප සහ ක්‍රොස් සයිට් ස්ක්‍රිප්ටින්

මාස තුනක් උනා අන්තිමට post එකක් දාලා.

ඔය සුලු කාලෙට උබන්ටු 9.10 relese උනා, ssh ආයෙත් වතාවක් දනින් වැටුනා( https:( ), සුප්‍රසිද්ධ Shaolin Temple website එක සති දෙකක් ඇතුලත පිට පිට තුන් පාරක් hacker attacks වලට ලක් උනා, Twitter එකේ user password එක වෙනස් කලාට පස්සෙත් 3rd party application වලට account එක access කරන්න පුලුවන් flow එකක් තිබිලා හොයාගත්තා, ලාවට හිම වැටුනා, iPhoneවලට බැන බැන හිටපු änthräXට iPhone user කෙනෙක් වෙන්න සිද්ධ උනා, änthräX ඇටයා කාලේ කසනවට ලියපු විද්‍යා ප්‍රබන්ධ තියන පොතකක් änthräX ගේ මලයා විසින් හොයාගන තිබුනා, යස අගේට foss වෙලා හිටපු HD Moore කොලුවව Rapid7 එකේ වැඩට ගත්තා (ඒකත් කාල ඇදල ඉන්න එපැයි), Internet Explorer 8 වල 0day එකක් leek උනා (ඕකත් නිව්ස් ද, හැමදාම වෙන එකනේ), SBU කට්ටිය මුණගැහුනා, änthräXගේ රාජකාරි ආයතනයට ලියපු gigantic pain in the @$$ project එකේ white box testing ඉවර උනා, sherlock Holmes movie එක release උනා සහ තව තව දේවල් අම්බානක් උනා.

වැඩි විස්තර කියන්න කලින් ඔන්න කට්ටියටම ලබන්නා වූ 2010, කිරියෙන් පැණියෙන් ඉතිරෙන(ආවඩා..), සිහින සැබෑ වෙන(ආවඩා..),crushes->relationships වෙන(ආවඩා..), interviews->jobs වෙන(ආවඩා..), අම්බානට වෙරි වෙන(ආවඩා..), පඩි වැඩි වෙන(ආවඩා..), promotions හම්බෙන(ආවඩා..), විභාග පාස් වෙන(ආවඩා..) ඉටිම ඉටිකිරිස් අවුරුද්දක් වේවා කියලා සුබ ප්‍රාර්ථනා කරනවා.

දෙයියනේ කියල පොඩ්ඩක් වේගෙන් කර කර හිටපු සිංහලෙන් ටයිප් කෙරුවාව ආයෙත් හොදටම "කෝ කෝ" වෙලා. ඒ මදිවට ලියාගෙන ආපු එක දැන් මතක නෑ.

XSS
ක්‍රොස් සයිට් ස්ක්‍රිප්ටින් කියලා කතාවක් ඔයාල අහල ඈතුවට කිසිම සැකයක් නෑ. අර අවුරුදු එකහමාරකට විතර උඩදි facebook ට ඇදගන නාන්න සිද්ධ උනේ? අපි හුගදෙනෙක් tinyurl, tr.im වගේ සේවාවන් වලට බරපතල විදියට ඈබ්බැහි වෙලා ඉන්න නිසා සහ තමන්ගේ බ්ලොග් තමන්ම host කරගෙන maintain කරන අයට පොඩි අදහස් ටිකක් දෙන්න හිතාගෙන තමයි මේ ලිපිය ලියන්නේ. (සහ වෙන ලියන්න දෙයක් ඔලුවට ආවෙ නැති නිසා)

යාලුවෙක් ගෙ post එකකට comment එකක් දාද්දි < a > </a> පාවිච්චි කරලා link එකක් දාන්න අපි හැමෝම දන්නව නේද? gmail වල password එක save කරල තියෙද්දි javascript: alert(document.getElementById('Passwd').value); කියලා password එක බලන්නත් දන්නව නේද? ඔය දෙක එකතු කලොත් මොකද වෙන්නෙ කියලා හිතුවද?? හරි හරි, වෙන page එකක ඉදන් තව page එකක password එකක් බලාගන්න බෑ තමයි. නමුත් account එකකට log වෙන්න username සහ password ඕනමද?

1. log වෙන්න ඔයාගෙ gmail account එකට
2. click කරන්න inbox එකේ තියන කැමති mail එකක්
3. address bar එකේ තියන address එක select කරලා ctrl+c ගහන්න (copy කරගන්න)
4. දැන් gmail tab එක close කරන්න. (log out වෙන්න එපා)
5. ctrl+t ගහලා (වෙන tab එකක් අරන්) address bar එකේ ctrl+v ගහන්න(paste කරන්න)

tab එක close කරන්න කලින් බල බල හිටපු mail එක එහෙමම පේනවා නේද? (IE6 නම් පාවිච්චිය, browser එක close කරලා open කලත් page එක පේන්න ඕනා)

එහෙම වෙන්නේ කොහොමද? band width save කරන්න සහ page loading speed එක වැඩි කරන්න web pages වල පාවිච්වි කරන cookies කියලා ජාතියක් ගැන අහල තියනව නේද?
එයා කරන්නේ නැවත භාවිතාකලහැකි ආකාරයේ දත්ත, පරිශීලකයාගේ පරිඝණයේ රදවාගන්න එක. එහම තියනකොට පරිශිලකයා එකම තොරතුර ආයෙත් ඉල්ලපුවහම browser එක කරන්නේ server එකත් client එකත් අතර තියන session එක valid ද කියලා බලන එක. අපි log out උනේ නෑ නේ. එහෙම උනාම server එක එකතරා කාලයක් තිස්සේ session එක validව තියාගන්නවා. ඒ කාල පරාසය ඇතුලත අපි අර session ID එකත් එක්ක request එකක් යැව්වොත් කතා දෙකක් නෑ server එක අපිට authorized connection එකක් දෙනවා. ඕහොම කරනවට තමයි සිංහල භාෂාවෙ "session hijacking" කියන පදය යොදාගැනෙන්නෙ.

වැඩේ පැහැදිලි කරන්න gmail ගාවගත්තට practical attack එකක් නම් මේ විදියට කරන්න අමාරුයි, මොකද google මේ වගේ දේවල් වේනන්න තියන ඉඩ අහුරලයි තියෙන්නෙ. නමුත් ඔයා පොදු තැනක ඉදන් internet access කරනවා නම් මේ වගේ message එකක් ආවොත්, එතනින් එහාට නොයන එක ඈගට ගුණයි.


කතන්දරේ තියරිය ඕකයි. ඕක practically implement කරන්න නම් ඉතින් blog එකක, forum එකක, guest book එකක flow එකක් හොයාගන්න වෙයි. ;)
(උනන්දුවන් සදහා පමනයි: පරණ බඩු මෙතනින් හොයාගන්න)

facebookට වෙලා තිබුනෙ, ඔයාට ඔයාගෙ යාලුවගෙ wall එකේ ලියන්න පුලුවන්කම තිබ්බා script එකක් එක්ක, කිසිම කරදරයක් නැතිව එයාගේ cookies ටික ඔයාට ලැබෙන්න.

------හොද පුරුදු-------
1. IE වෙනුවට firefox පාවිච්චි කරන්න. firefox දිරවන්නෙ නැතිනම් chromeවත්.
2. firefox වල update එකක් තියනව කියලා message එකක් ආවොත් හිත හිත ඉන්නෙ නැතුව update කරන්න.
3. firefox වල edit->preferences (windows නම් tools->options) ගිහින් privacy tab එකේ "firefox will" කියලා තියන drop down list box එකෙන් "use custom settings for history" තෝරලා "accept third party cookies" වලට යටින් තියන "keep until" කියලා තියන drop down list box එකේ "i close firefox" කියලා තෝරන්න.
4. කිසිම site එකකට log වෙනකොට browser එකට username/password එක save කරන්න දෙන්න එපා.
5. මොකක් හරි site එකකට certification error එකක් ආවොත්, හොදටම දන්නවනම් මිසක් exception එකක් add කරන්න එපා. (පොදු ස්ථානයක ඉදන් Internet access කරනව නම් කොහොමටවත් certificate exception එකක් add කරන්න එපා)
6.තමන්ගේ ලිපියකට image එකක් add කරද්දි කවදාවත් වෙන site එකක තියන image එකකට point කරන්න එපා. image එක download කරගෙන ඔයාගේ site එකට හරි, ඔයාගෙ picasa account එකට හරි upload කරලා පාවිච්චි කරන්න.
7. tinyurl හරි trim වගේ link එකක වගේම සාමාන්‍ය දිග url එකක උනත් click කරපුවහම message box එකක් ආවොත් උවමනාවෙන් ඒ දිහෑ බලන්න ආපු message එක genuine එකක් ද crafted එකක්ද කියලා.
8. තමන් ගේ site එකේ blog එකක්, forum එකක්, guest book එකක් තියනව නම් අලුත් updates/patches දාලා ආරක්ශිතව තියාගන්න. user කෙනෙක්ට use කරන්න පුලුවන් tags සීමා කරන්න. XSS කරන කෙනෙක්ට ඔයාගෙ site එක අතකොලුවක් කරගන්න දෙන්න ඒපා.
9. page එකක කොහේ හරි වහපු නැති tags තියනවද කියල විමසිලිමත් වෙන්න.
10. තමන් ඉගනගත්තු දෙයක් තව කෙනෙක්ට යහපතක් කරන්න මිස හානියක් කරන්න යොදාගන්න ඒපා. දන්න දෙයක් බෙදාගන්න මැලි වෙන්න එපා.

සුපුරුදු අපැහැදිලි ගතියට සමා වෙලා ප්‍රශ්ණ තියනව නම් අහන්න.

ආයුබෝ වේවා..

16 comments:

  1. කිරියෙන් පැණියෙන් ඉතිරෙන(ආවඩා..), සිහින සැබෑ වෙන(ආවඩා..),crushes->relationships වෙන(ආවඩා..), interviews->jobs වෙන(ආවඩා..), අම්බානට වෙරි වෙන(ආවඩා..), පඩි වැඩි වෙන(ආවඩා..), promotions හම්බෙන(ආවඩා..), විභාග පාස් වෙන(ආවඩා..) ඉටිම ඉටිකිරිස් අවුරුද්දක් වේවා කියලා සුබ ප්‍රාර්ථනා කරනවා.

    Ubuntu 9.xx එකේ අල නැති 10.xx එන, FOSS කලාව සුභ අනාගතයක් වෙන, openOffice එකේ User interface මේ වගේම වෙලා තවත් දියුණු කරන් MS office කැලේ යවන, අපේ Anthaxට ජයෙන් ජය වෙන සුභම සුභ නව වසරක් වේවා!!!

    ReplyDelete
  2. änthräX ගේ දස පනත! මේ බ්ලොග් එකෙන් නං මම ගොඩක් දේ ඉගෙන ගන්නවා... නියමයි!!

    Certificaion error එක ගැන වචනයක් -- අපි ක්ලික් දෙක තුනකින් certificate එක accept කරනවා වගේම එහා පැත්තේ බලාගෙන ඉන්න එකාට අපේ username/password හොරකම් කරන්න හරිම ලේසියි.

    ReplyDelete
  3. එතකොට අපේ ගෙදර බ්‍රව්සරේ පාස්වර්ඩ් සේව් කිරීමත් භයානකද? :O

    ReplyDelete
  4. ගොඩක් හොද post එක්ක.. තව ලියන්න

    ReplyDelete
  5. @~බිன்ku~,
    ජය වේවා...

    @ශාකුන්තල,
    ඇත්තටම සතුටුයි.

    @Supun,
    ඔව්. එක්තරා දුරකට.

    @දුකා,
    තැන්කු

    @MANJU,
    පුලුවන් විදියට දෙන්නම්.

    ReplyDelete
  6. @änthräX: අනේ වෙන වැඩ නැතිවෙයි බං හැම තිස්සෙම පාස්වර්ඩ් ගහගහ ඉන්න ගියාම! :/

    ReplyDelete
  7. ඇන්ත්‍රැක්ස්ගෙන් මේ වගේ අගනා අවවාද දහස් ගුණයෙන් හම්බ වෙන සුබම සුබ නව වසරක් වේවා!
    මයෙ මැණික් කැටෙත් ආපහු පටන් ගමු නේද?

    ReplyDelete
  8. @තමීර: සිරාවට, මයෙ මැණික් කැටේ නැත්තං ආපහු මේ බ්ලොගේට අපි එන්නෙ නෑ නෙවද?

    ReplyDelete
  9. මේ බ්ලොගේ පටන් ගැන්මෙ ඉඳලම ඉතාම රසවත්... :)

    ReplyDelete
  10. සුබම සුබ අලුත් අවුරුද්දක් වේවා මචෝ. දැන් මේක ලියලා ආපහු මාස තුනක් යනකම් ඉන්න එපා ආයේ පෝස්ට් එකක් දාන්න. :)

    මචෝ වෑර්ලස් කනෙක්ෂන් එකකින් නෙට් යනකොට මම විතරක් පාවිච්චි කරන ලැපේ වුනත් පාස්වර්ඩ් සේව් කරන එක භයානකද?

    ReplyDelete
  11. අම්මෝ.. බය කරනව කියල ඔහොමත් බය කරනවද.. :S

    මම Xmark එකේ Password Sync වෙන්නත් දාල තියෙන්නෙ..(Gmail Pass එක ඇර) :x

    ReplyDelete
  12. මැක්සා!!! වටින දෙක තුනක් ඉගෙන ගත්තා

    ReplyDelete
  13. @Supun,

    security -----|----- ease of use

    @තමීර,
    එසේම වේවා!

    @Supun,
    මෙන්න මෙයා බ්ලැක්මේල් කරනවෝ...

    @ශාකුන්තල,
    තැන්කූ කිව්ව vote of confidence එකට

    @රොයිලි,
    එසේම වේවා! නෑ නෑ, එල්ලිලා ඉන්නම්.

    wireless ගැවිච්ච ගමන් අහන්න තියන පලවෙනි දේ තමයි ඔයා පාවිච්චි කරන wireless connection එක openද, WEPද, WPAද කියල. open wireless networks ගැන කතා කරන්න දෙයක් නෑ නෙ. Wireless Encripted Privacy(WEP) කියන්නේ හුගක් දුර්වල තාක්ෂණයක්. අර දිගට කොටන්න තියන මහලොකු WEP key එක උපරිම පැය බාගයක් ඈතුලත හෙව්වැකි අල්ලපු ගෙදර ඉදන්.

    @ගයන්ත,
    බය කරනව නෙමේ. ඇත්ත තත්වෙ පෙන්නල දෙනව.

    අර බිත්තර එක කූඩෙක දාන කතාවක් තියනව නේද?

    @chamila,
    සතුටුයි.

    @ඕක්කොටම
    ලිපියේ අරමුන ඔයාලව බය කරන්න නෙමේ. පිටත ලෝකේ තියන possible threats ගැන ඔයාලව දැනුවත් කරල ඔයාල කවුරුත් easy target එකක් නොවෙන්න සලස්වන්න. බොහොමයක් පරිශිලකයො තමන්ව හැක් කලා කියල දන්නෙත් නෑ ඉනටනෙට් බිල හරි credit card බිල හරි වැඩි උනොත් ඈරෙන්න. ඔයාල සමහර අය convinced නැතුව ඈති මේ ලිපිය ගැන. මොනව කරන්නද, මගෙ බොසත් security ගැන හිතන්නේ "firewall එකක් දාපුවම ඔක්කොම හරි" කියලනේ.

    මොටසයිකලයකට නගිද්දි හෙල්මට් එකක් දාගන්න එක හොද පුරුද්දක් නේද? කොට කලිසමකුයි බාටා දෙකකුයි කැප් එකකුයි දාගන Mate50යක යන එකයි CBR250යකය යන එකෙයි වෙනස හිතන්න. (මට නම් අමතක වෙන එකක් නෑ දකුනු අත පිරෙන්න තියන ලස්සන කැලල තියනකන්) ඔයා කරන වැඩේ අනුව security පාවිච්චි කරන එක ඔයාට බාරයි. මම පුලුවන් විදියට ඔයාලව දැනුවත් කරන්නම්. ;)

    ReplyDelete
  14. පට්ට ලිපිය ලොක්කා... උබ රොයිලියව බය කලා නේද හික් :D

    ReplyDelete
  15. änthräX ලොක්ක 2010 ට හොද පුරුදු කියල දෙනව වගේ නේද? වැඩේ නම් නියමයි ගොඩාක් දේවල් ඉගෙන ගත්තා. අම්බානට වෙරි වෙන එකත් එක්ක තව ගොඩක් දේවල් ලැබෙන සුභ නව වසරක් වේවා කියල අපිත් ප්‍රාර්ථනා කරනවා

    ReplyDelete