FixVibe
Covered by FixVibehigh

Сайтаралық сценарийлерді анықтау және алдын алу (XSS) осалдықтары

Сайтаралық сценарий (XSS) қолданба дұрыс тексерусіз немесе кодтаусыз веб-бетте сенімсіз деректерді қосқанда орын алады. Бұл шабуылдаушыларға жәбірленушінің браузерінде зиянды сценарийлерді орындауға мүмкіндік береді, бұл сеансты ұрлауға, рұқсат етілмеген әрекеттерге және құпия деректердің ашылуына әкеледі.

CWE-79

Әсер

Сайтаралық сценарийді (XSS) осалдығын сәтті пайдаланатын шабуылдаушы жәбірленуші пайдаланушы ретінде бетперде жасай алады, пайдаланушы орындауға рұқсат етілген кез келген әрекетті орындай алады және пайдаланушының [S1] кез келген деректеріне қол жеткізе алады. Бұған тіркелгілерді ұрлау үшін сеанс cookie файлдарын ұрлау, жалған пішіндер арқылы кіру тіркелгі деректерін алу немесе [S1][S2] виртуалды дефектациясын орындау кіреді. Егер жәбірленушіде әкімшілік артықшылықтар болса, шабуылдаушы қолданбаны және оның деректерін [S1] толық бақылауға алады.

Негізгі себеп

XSS қолданба пайдаланушы басқаратын енгізуді қабылдағанда және оны [S2] тиісті бейтараптандырусыз немесе кодтаусыз веб-бетке қосқанда орын алады. Бұл веб-сайттарды бір-бірінен оқшаулауға арналған [S1][S2] үшін жасалған Бірдей түпнұсқалық саясатты айналып өтіп, жәбірленушінің браузері енгізуді белсенді мазмұн (JavaScript) ретінде түсіндіруге мүмкіндік береді.

осалдық түрлері

  • Шағылысқан XSS: Зиянды сценарийлер әдетте [S1] URL параметрі арқылы жәбірленушінің браузеріне веб-бағдарламадан көрсетіледі.
  • Сақталған XSS: Сценарий серверде тұрақты сақталады (мысалы, дерекқорда немесе түсініктеме бөлімінде) және кейінірек пайдаланушыларға [S1][S2] қызмет етеді.
  • DOM негізіндегі XSS: Осалдық толығымен сенімді емес көзден деректерді innerHTML [S1] файлына жазу сияқты қауіпті жолмен өңдейтін клиенттік кодта бар.

Бетонды түзетулер

  • Шығыстағы деректерді кодтау: Пайдаланушы басқаратын деректерді көрсету алдында қауіпсіз пішінге түрлендіру. HTML нысаны үшін HTML нысанын кодтауды және [S1][S2] арнайы мәтінмәндері үшін сәйкес JavaScript немесе CSS кодтауын пайдаланыңыз.
  • Келгенде енгізуді сүзу: Күтілетін енгізу пішімдері үшін қатаң рұқсат етілген тізімдерді енгізіңіз және [S1][S2] сәйкес келмейтін кез келген нәрсені қабылдамаңыз.
  • Қауіпсіздік тақырыптарын пайдаланыңыз: JavaScript [S2] арқылы кіруді болдырмау үшін сеанс cookie файлдарында HttpOnly жалаушасын орнатыңыз. Браузерлердің жауаптарды [S1] орындалатын код ретінде қате түсіндірмейтініне көз жеткізу үшін Content-Type және X-Content-Type-Options: nosniff пайдаланыңыз.
  • Мазмұндық қауіпсіздік саясаты (CSP): Терең қорғаныс деңгейін қамтамасыз ететін CSPCV.CSPXVC.

FixVibe оны қалай тексереді

FixVibe XSS [S1] белгіленген сканерлеу әдістемелеріне негізделген көп деңгейлі тәсіл арқылы анықтай алады:

  • Пассивті сканерлеулер: Content-Security-Policy немесе X-Content-Type-Options сияқты XSS ZXCVFIXVIBETOKEN2ZXV азайтуға арналған жетіспейтін немесе әлсіз қауіпсіздік тақырыптарын анықтау.
  • Белсенді зондтар: [S1] дұрыс кодтаусыз жауап корпусында көрсетілетінін анықтау үшін URL параметрлері мен пішін өрістеріне бірегей, зиянды емес әріптік-сандық жолдарды енгізу.
  • Репо сканерлеулері: innerHTML, document.write немесе setTimeout сияқты сенімді емес деректерді қауіпсіз өңдейтін «раковиналар» үшін клиенттік JavaScript талдауы document.write, олар setTimeout, олар setTimeout, олар ZX4BETOKVCVC-ге негізделген. [S1].