FixVibe
Covered by FixVibehigh

Ịchọta na igbochi scripting Cross-Site (XSS) adịghị ike

Edemede n'ofe saịtị (XSS) na-eme mgbe ngwa gụnyere data enweghị ntụkwasị obi na ibe weebụ na-enweghị nkwado ma ọ bụ itinye koodu kwesịrị ekwesị. Nke a na-enye ndị na-awakpo ohere ịme scripts ọjọọ n'ime ihe nchọgharị onye ahụ, na-eduga na ntọọrọ oge, omume na-akwadoghị, yana ikpughe data dị nro.

CWE-79

Mmetụta

Onye na-awakpo nke na-erigbu adịghị ike nke Cross-Site Scripting (XSS) nwere ike mebie dị ka onye na-eme ihe, mee ihe ọ bụla enyere onye ọrụ ikike ime, wee nweta data onye ọrụ ọ bụla [S1]. Nke a na-agụnye izu ohi kuki nnọkọ iji tọọ akaụntụ, na-ewere nzere nbanye site na ụdị adịgboroja, ma ọ bụ ime mmejọ mebere [S1][S2]. Ọ bụrụ na onye ahụ a tara ahụhụ nwere ikike nchịkwa, onye mwakpo ahụ nwere ike nweta njikwa zuru oke na ngwa na data ya [S1].

Ihe kpatara ya

XSS na-eme mgbe ngwa na-anata ndenye onye ọrụ na-achịkwa ma tinye ya na ibe weebụ na-enweghị nkwụsị nke ọma ma ọ bụ tinye [S2]. Nke a na-enye ohere ka sụgharịa ndenye dị ka ọdịnaya nọ n'ọrụ (JavaScript) site na ihe nchọgharị onye ahụ, na-agafe otu amụma mmalite nke e mere iji kewapụ weebụsaịtị na ibe ya [S1][S2].

Ụdị adịghị ike

  • Egosiputara XSS: A na-egosipụta edemede ọjọọ na ngwa webụ na ihe nchọgharị onye ahụ, nke na-abụkarị site na oke URL [S1].
  • echekwara XSS: A na-echekwa edemede ahụ na sava ahụ kpamkpam (dịka ọmụmaatụ, na nchekwa data ma ọ bụ ngalaba nkọwa) wee jeere ndị ọrụ ozi emechaa [S1][S2].
  • XSS dabere na DOM: adịghị ike dị kpamkpam na koodu ndị ahịa na-ahazi data sitere na isi iyi enweghị ntụkwasị obi n'ụzọ adịghị mma, dị ka idegara innerHTML [S1].

Concrete ndozi

  • Tinye koodu na mmepụta: Tụgharịa data onye ọrụ na-achịkwa ka ọ bụrụ ụdị nchekwa tupu ịnye ya. Jiri ntinye HTML maka ahụ HTML, yana Javascript ma ọ bụ CSS dabara adaba maka ọnọdụ ndị ahụ akọwapụtara [S1][S2].
  • Ntinye nzacha na mbata: Tinye akwụkwọ ikike siri ike maka ụdị ntinye a na-atụ anya ma jụ ihe ọ bụla na-adabaghị na [S1][S2].
  • Jiri nkụnye ndị isi nchekwa: Tọọ ọkọlọtọ HttpOnly na kuki nnọkọ iji gbochie ịnweta site na JavaScript [S2]. Jiri Content-Type na X-Content-Type-Options: nosniff iji hụ na ihe nchọgharị anaghị akọwahie azịza dịka koodu [S1].
  • Amụma Nchekwa Ọdịnaya (CSP): Weghachite CSP siri ike machibido isi mmalite nke enwere ike ibunye ma mebie ederede, na-enye oyi akwa nchekwa dị omimi.

Kedu ka FixVibe si nwalee ya

FixVibe nwere ike ịchọpụta XSS site na usoro nwere ọtụtụ agba dabere na usoro nyocha nke ọma [S1]:

  • Nyochaa Passive: Ịchọpụta isi nchekwa na-efu ma ọ bụ adịghị ike dị ka Content-Security-Policy ma ọ bụ X-Content-Type-Options nke e mere iji belata XSS [S1].
  • Nnyocha ndị na-arụ ọrụ: Ịnye ụdọ mkpụrụedemede pụrụ iche, nke na-abụghị nke obi ọjọọ n'ime URL URL na ụdị ubi iji chọpụta ma ọ bụrụ na ha na-egosipụta na ahụ nzaghachi na-enweghị ezigbo koodu [S1].
  • Repo Scans: Nyochaa JavaScript n'akụkụ ndị ahịa maka "sinks" nke na-ejikwa data enweghị ntụkwasị obi na-adịghị ize ndụ, dị ka innerHTML, document.write, ma ọ bụ setTimeout, bụ ndị na-egosikarị ZVITOKEN2ZXCV. [S1].