Atacuri Cross Site Scripting

Prezentare generală

Atacurile Cross-Site Scripting sunt un tip de problema , în care script-uri “rautacioase” sunt injectate in site-uri web importante, utile. Atacurile Cross-Site Scripting (XSS), apar atunci când un atacator foloseste o aplicație web pentru a trimite codul malitios, în general, sub forma unui script in browser-ul unui utilizator final oerecaret. Sunt multe vulnerabilitati vulnerabilitati care permit aceste atacuri și apar oriunde se folosește o aplicație web de intrare de la un utilizator la ieșire pe care le generează, fără a valida sau codare-l.

Un atacator poate folosi XSS pentru a trimite un script rău intenționat la un utilizator neavizat. Browser-ul utilizatorului final nu are cum să știe că script-ul nu ar trebui să fie de încredere, și va executa scriptul. Pentru că crede că script-ul a venit de la o sursă de încredere, script-ul rău intenționat poate accesa orice cookie-uri, sesiune, sau alte informații sensibile păstrate de către browser-ul dvs. și folosite cu site-ul respectiv. Aceste script-uri pot rescrie chiar conținutul paginii HTML.

Cross-site scripting (XSS), are loc atunci când un atacator introduce script-uri rau intentionate într-o formă dinamică ce permite atacatorului să obtina informatii despre sesiunea privată.

Activitățile legate de securitate.

Reguli de prevenire XSS

Următoarele reguli sunt menite să prevină toate XSS în cererea dumneavoastră. În timp ce aceste norme nu permit libertatea absolută în punerea de date nu sunt de încredere într-un document HTML, acestea ar trebui să acopere marea majoritate a cazurilor de utilizare comune. Nu trebuie să permită tuturor normelor în organizația dumneavoastră. Multe organizatii ar putea găsi că permite singura regula # 1 si Regula # 2 sunt suficiente pentru nevoile lor. Vă rugăm să adăugați o notă la pagina de discuție în cazul în care există un context suplimentar, care este de multe ori necesară și poate fi asigurat cu evadarea.

NU scăpa pur și simplu o listă de caractere exemplu prevăzute în normele de diferite. Nu este suficient doar să scape această listă. Lista cu abordări sunt destul de fragile. Normele lista albă de aici au fost atent proiectate pentru a oferi protecție chiar și împotriva vulnerabilităților viitoarelor schimbări introduse de browser.

Regula 1 Niciodată nu introduceți date nesigure excepția Locații premise

Prima regula este de a nega totul - nu puneți datele carev nu sunt de încredere în documentul dvs. HTML excepția cazului în care se află una dintre cele mai sloturi sunt definite în regula # 1 prin Regula # 5.Motivul pentru Regula # 0 este că există atât de multe contexte ciudate în HTML ca lista de reguli care scapă devine foarte complicat. Nu ne putem gândi la nici un motiv bun pentru a pune datele care nu prezintă încredere în aceste contexte. Aceasta include "contexte imbricate", cum ar fi o adresă URL în interiorul unui JavaScript - normele care codifica pentru aceste locații sunt dificil și periculos. Dacă insistați pe punerea de date nu sunt de încredere în contexte imbricate, vă rugăm să faceți o mulțime de cross-browser de testare și să ne spui ce-ai afla.

<script> .NEVER PUT UNTRUSTED DATA HERE .</script> directly in a script

<!-- .NEVER PUT UNTRUSTED DATA HERE .--> inside an HTML comment

<div .NEVER PUT UNTRUSTED DATA HERE .=test /> in an attribute name

<NEVER PUT UNTRUSTED DATA HERE . href="/test" /> in a tag name

<style> .NEVER PUT UNTRUSTED DATA HERE .</style> directly in CSS

Cel mai important nu se accepte niciodată efectiv codul JavaScript de la o sursă de încredere și apoi rulați-l. De exemplu, un parametru numit "callback" care conține un fragment de cod JavaScript. Nici o cantitate de a scăpa poate repara asta.

Regula 2 - Escape HTML înainte de a introduce date nesigure în conținutul elementului HTML

Regula 2 este pentru atunci când doriți să afișezi date nu prezintă încredere direct în corpul HTML undeva. Aceasta include tag-uri în interiorul normale, cum ar fi div, P, B, TD, etc Cele mai multe cadre web au o metodă pentru HTML scăpa pentru caracterele descrise mai jos. Cu toate acestea, acest lucru nu este absolut suficientă pentru alte contexte HTML. Ai nevoie de a pune în aplicare alte norme detaliate aici, de asemenea.