FixVibe
Covered by FixVibehigh

ការរកឃើញ និងការពារការសរសេរអត្ថបទឆ្លងគេហទំព័រ (XSS) ភាពងាយរងគ្រោះ

ZXCVFIXVIBESEG ២ Cross-Site Scripting (XSS) កើតឡើងនៅពេលដែលកម្មវិធីរួមបញ្ចូលទិន្នន័យដែលមិនគួរឱ្យទុកចិត្តនៅក្នុងទំព័របណ្តាញដោយមិនមានសុពលភាពត្រឹមត្រូវ ឬការអ៊ិនកូដ។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការស្គ្រីបព្យាបាទនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ ដែលនាំទៅដល់ការលួចចូលវេន សកម្មភាពដែលគ្មានការអនុញ្ញាត និងការប៉ះពាល់ទិន្នន័យរសើប។

CWE-79

ផលប៉ះពាល់

ZXCVFIXVIBESEG ៤ អ្នកវាយប្រហារដែលប្រើប្រាស់ភាពងាយរងគ្រោះ Cross-Site Scripting (XSS) ដោយជោគជ័យអាចក្លែងបន្លំជាអ្នកប្រើប្រាស់ជនរងគ្រោះ ធ្វើសកម្មភាពណាមួយដែលអ្នកប្រើប្រាស់ត្រូវបានអនុញ្ញាតិឱ្យអនុវត្ត និងចូលប្រើទិន្នន័យណាមួយរបស់អ្នកប្រើប្រាស់ [S1] ។ នេះរាប់បញ្ចូលទាំងការលួចខុកឃីសម័យដើម្បីលួចគណនី ចាប់យកព័ត៌មានសម្ងាត់ចូលតាមរយៈទម្រង់ក្លែងក្លាយ ឬអនុវត្តការលុបឈ្មោះនិម្មិត [S1][S2]។ ប្រសិនបើជនរងគ្រោះមានសិទ្ធិគ្រប់គ្រង អ្នកវាយប្រហារអាចទទួលបានការគ្រប់គ្រងពេញលេញលើកម្មវិធី និងទិន្នន័យរបស់វា [S1] ។

ZXCVFIXVIBESEG ៥

មូលហេតុ

ZXCVFIXVIBESEG ៦ XSS កើតឡើងនៅពេលដែលកម្មវិធីទទួលបានធាតុបញ្ចូលដែលអាចគ្រប់គ្រងដោយអ្នកប្រើប្រាស់ ហើយរួមបញ្ចូលវានៅក្នុងទំព័របណ្តាញដោយមិនមានអព្យាក្រឹត ឬអ៊ិនកូដ [S2] ។ នេះអនុញ្ញាតឱ្យការបញ្ចូលត្រូវបានបកស្រាយថាជាខ្លឹមសារសកម្ម (JavaScript) ដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ ដោយជៀសផុតពីគោលការណ៍ប្រភពដើមដូចគ្នាដែលបានរចនាឡើងដើម្បីញែកគេហទំព័រពីគ្នាទៅវិញទៅមក [S1][S2] ។

ZXCVFIXVIBESEG ៧

ប្រភេទនៃភាពងាយរងគ្រោះ

ZXCVFIXVIBESEG ៨

  • បានឆ្លុះបញ្ចាំង XSS: ស្គ្រីបព្យាបាទត្រូវបានឆ្លុះបញ្ចាំងពីកម្មវិធីគេហទំព័រទៅកាន់កម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ ជាធម្មតាតាមរយៈប៉ារ៉ាម៉ែត្រ URL [S1] ។
  • បានរក្សាទុក XSS: ស្គ្រីបត្រូវបានរក្សាទុកជាអចិន្ត្រៃយ៍នៅលើម៉ាស៊ីនមេ (ឧ. នៅក្នុងផ្នែកទិន្នន័យ ឬមតិយោបល់) និងបម្រើដល់អ្នកប្រើប្រាស់នៅពេលក្រោយ [S1][S2] ។

ZXCVFIXVIBESEG ១០

  • XSS ដែលមានមូលដ្ឋានលើ DOM៖ ភាពងាយរងគ្រោះមានទាំងស្រុងនៅក្នុងកូដភាគីអតិថិជន ដែលដំណើរការទិន្នន័យពីប្រភពដែលមិនគួរឱ្យទុកចិត្តក្នុងវិធីដែលមិនមានសុវត្ថិភាព ដូចជាការសរសេរទៅកាន់ innerHTML [S1] ជាដើម។

ZXCVFIXVIBESEG ១១

ជួសជុលបេតុង

ZXCVFIXVIBESEG ១២

  • អ៊ិនកូដទិន្នន័យនៅលើលទ្ធផល៖ បំប្លែងទិន្នន័យដែលអាចគ្រប់គ្រងដោយអ្នកប្រើប្រាស់ទៅជាទម្រង់សុវត្ថិភាពមុនពេលបង្ហាញវា។ ប្រើការអ៊ិនកូដធាតុ HTML សម្រាប់តួ HTML និងការអ៊ិនកូដ JavaScript ឬ CSS ដែលសមស្របសម្រាប់បរិបទជាក់លាក់ទាំងនោះ [S1][S2] ។

ZXCVFIXVIBESEG ១៣

  • ការបញ្ចូលតម្រងនៅពេលមកដល់៖ អនុវត្តបញ្ជីអនុញ្ញាតដ៏តឹងរឹងសម្រាប់ទម្រង់នៃការបញ្ចូលដែលរំពឹងទុក ហើយបដិសេធរាល់អ្វីដែលមិនស្របតាម [S1][S2]។
  • ប្រើបឋមកថាសុវត្ថិភាព៖ កំណត់ទង់ HttpOnly នៅលើខូគីសម័យ ដើម្បីការពារការចូលប្រើតាមរយៈ JavaScript [S2] ។ ប្រើ Content-Type និង X-Content-Type-Options: nosniff ដើម្បីធានាថាកម្មវិធីរុករកមិនបកស្រាយការឆ្លើយតបខុសជាលេខកូដប្រតិបត្តិ [S1] ។

ZXCVFIXVIBESEG ១៥

  • គោលការណ៍សុវត្ថិភាពខ្លឹមសារ (CSP)៖ ដាក់ពង្រាយ CSP ដ៏រឹងមាំ ដើម្បីដាក់កម្រិតប្រភពដែលស្គ្រីបអាចត្រូវបានផ្ទុក និងប្រតិបត្តិ ដោយផ្តល់នូវស្រទាប់ការពារក្នុងជម្រៅ [S1]ZXCVFIXZVIBETOKEN0ZXCVZXCVFIXZVIBETOKEN

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

FixVibe អាចរកឃើញ XSS តាមរយៈវិធីសាស្រ្តពហុស្រទាប់ដោយផ្អែកលើវិធីសាស្ត្រស្កេនដែលបានបង្កើតឡើង [S1]៖ ZXCVFIXVIBESEG ១៨

  • ការស្កេនអកម្ម៖ កំណត់អត្តសញ្ញាណក្បាលសុវត្ថិភាពដែលបាត់ ឬខ្សោយដូចជា Content-Security-PolicyX-Content-Type-Options ដែលត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយ XSS [S1] ។

ZXCVFIXVIBESEG ១៩

  • ការស៊ើបអង្កេតសកម្ម៖ បញ្ចូលខ្សែអក្សរអក្សរក្រមលេខដែលមិនព្យាបាទតែមួយគត់ទៅក្នុងប៉ារ៉ាម៉ែត្រ URL និងទម្រង់បែបបទ ដើម្បីកំណត់ថាតើពួកវាត្រូវបានឆ្លុះបញ្ចាំងនៅក្នុងតួការឆ្លើយតបដោយមិនមានការអ៊ិនកូដត្រឹមត្រូវ [S1] ទេ។
  • Repo Scans: ការវិភាគ JavaScript ខាងអតិថិជនសម្រាប់ "sinks" ដែលគ្រប់គ្រងទិន្នន័យដែលមិនគួរឱ្យទុកចិត្តដោយមិនមានសុវត្ថិភាព ដូចជា innerHTML, document.writesetTimeout ដែលជាសូចនាករទូទៅនៃ innerHTML [S1] ។