FixVibe
Covered by FixVibehigh

A’ lorg agus a’ casg sgrìobhadh thar-làraich (XSS) so-leòntachd

Bidh Sgriobtadh Thar-làraich (XSS) a’ tachairt nuair a bhios tagradh a’ toirt a-steach dàta neo-earbsach ann an duilleag-lìn gun dearbhadh no còdachadh ceart. Leigidh seo le luchd-ionnsaigh sgriobtaichean droch-rùnach a chuir an gnìomh ann am brobhsair an neach-fulaing, a’ leantainn gu fuadach seisean, gnìomhan gun chead, agus foillseachadh dàta mothachail.

CWE-79

Buaidh

Faodaidh neach-ionnsaigh a bhios gu soirbheachail a’ gabhail brath air so-leòntachd Sgriobt thar-làraich (XSS) masquerade mar neach-cleachdaidh fulangach, gnìomh sam bith a dhèanamh a tha cead aig an neach-cleachdaidh a dhèanamh, agus faighinn gu dàta neach-cleachdaidh sam bith [S1]. Tha seo a’ toirt a-steach a bhith a’ goid bhriosgaidean seisean gus cunntasan a ghlacadh, a’ glacadh teisteanasan logadh a-steach tro fhoirmean meallta, no a’ coileanadh milleadh mas-fhìor [S1][S2]. Ma tha sochairean rianachd aig an neach-fulang, faodaidh an neach-ionnsaigh làn smachd fhaighinn air an tagradh agus an dàta aige [S1].

Bun-adhbhar

Bidh XSS a’ tachairt nuair a gheibh tagradh cuir a-steach a tha fo smachd neach-cleachdaidh agus a bheir a-steach e ann an duilleag-lìn gun neodachadh ceart no còdachadh [S2]. Leigidh seo leis an cuir a-steach a bhith air a mhìneachadh mar shusbaint gnìomhach (JavaScript) le brobhsair an neach-fulaing, a ’dol timcheall air a’ Phoileasaidh Same Origin a chaidh a dhealbhadh gus làraich-lìn a sgaradh bho chèile [S1][S2].

Seòrsan so-leòntachd

  • Air a nochdadh XSS: Tha sgriobtaichean droch-rùnach air an nochdadh far tagradh lìn gu brobhsair an neach-fulaing, mar as trice tro paramadair URL [S1].
  • Air a stòradh XSS: Tha an sgriobt air a stòradh gu maireannach air an fhrithealaiche (me, ann an stòr-dàta no earrann bheachdan) agus air a fhrithealadh do luchd-cleachdaidh nas fhaide air adhart [S1][S2].
  • XSS stèidhichte air DOM: Tha an so-leòntachd gu tur ann an còd taobh teachdaiche a bhios a ’giullachd dàta bho stòr neo-earbsach ann an dòigh neo-shàbhailte, leithid sgrìobhadh gu innerHTML [S1].

Ceartachaidhean concrait

  • Còdaich dàta air toradh: Tionndaidh dàta a tha fo smachd neach-cleachdaidh gu cruth sàbhailte mus toir thu seachad e. Cleachd còdachadh eintiteas HTML airson a’ bhuidheann HTML, agus còdachadh iomchaidh JavaScript no CSS airson na co-theacsan sònraichte sin [S1][S2].
  • Cuir a-steach sìoltachan nuair a thig thu: Cuir an gnìomh liostaichean cead teann airson cruthan cuir a-steach ris a bheil dùil agus diùlt rud sam bith nach eil a’ gèilleadh [S1][S2].
  • Cleachd cinn tèarainteachd: Suidhich bratach HttpOnly air briosgaidean seisean gus casg a chuir air ruigsinneachd tro JavaScript [S2]. Cleachd Content-Type agus X-Content-Type-Options: nosniff gus dèanamh cinnteach nach dèan brobhsairean mì-mhìneachadh air freagairtean mar chòd so-ghnìomhaichte [S1].
  • Poileasaidh Tèarainteachd Susbaint (CSP): Cleachd CSP làidir gus na stòran às an urrainnear sgriobtaichean a luchdachadh agus a chuir gu bàs a chuingealachadh, a’ toirt seachad còmhdach domhainn dìon

Mar a nì FixVibe deuchainn air a shon

B’ urrainn do FixVibe XSS a lorg tro dhòigh-obrach ioma-shreath stèidhichte air modhan sganaidh stèidhichte [S1]:

  • Sganan fulangach: A’ comharrachadh cinn tèarainteachd a tha a dhìth no lag leithid Content-Security-Policy no X-Content-Type-Options a tha air an dealbhadh gus XSS [S1] a lasachadh.
  • Sgrùdaidhean Gnìomhach: A’ stealladh sreangan alphanumeric gun samhail a-steach do pharaimearan URL agus raointean cruth gus faighinn a-mach a bheil iad air an nochdadh anns a’ bhuidheann freagairt gun chòdachadh ceart [S1].
  • Sganan Repo: A’ mion-sgrùdadh JavaScript taobh teachdaiche airson “sinc” a bhios a’ làimhseachadh dàta neo-earbsach ann an dòigh mhì-shàbhailte, leithid innerHTML, document.write, no setTimeout, a tha nan comharran cumanta air DKVENZVICV. [S1].