FixVibe
Covered by FixVibehigh

Tesbîtkirin û Pêşîlêgirtina Xerabnivîsandina Xaç-Malperê (XSS)

Nivîsandina Cross-Site (XSS) dema ku serîlêdan daneyên nebawer di nav rûpelek malperê de bêyî pejirandin an kodkirina rast vedihewîne pêk tê. Ev rê dide êrîşkaran ku di geroka mexdûr de nivîsarên xerab bi darve bikin, ku bibe sedema revandina danişînê, kiryarên nedestûr, û eşkerekirina daneya hesas.

CWE-79

Bandor

Êrîşkerek ku bi serketî zeîfiyek Xaça-Scripting (XSS) bi kar tîne, dikare wekî bikarhênerek mexdûr nîşan bide, her kiryarek ku bikarhêner destûr jê re heye bike, û bigihîje yek ji daneyên bikarhêner [S1]. Di vê yekê de dizîna çerezên danişînê ji bo revandina hesaban, girtina pêbaweriyên têketinê bi formên sexte, an pêkanîna xerakirina virtual [S1][S2] pêk tê. Ger mexdûr xwediyê îmtiyazên îdarî be, êrîşkar dikare bi tevahî serîlêdan û daneyên wê [S1] kontrol bike.

Sedema bingehîn

XSS dema ku serîlêdan têketina bikarhêner-kontrolkirî werdigire û bêyî bêalîkirin an kodkirina [S2] di nav rûpelek malperê de pêk tê. Ev dihêle ku têketin ji hêla geroka mexdûr ve wekî naverokek çalak (JavaScript) were şîrove kirin, ku Polîtîkaya Heman Originê ku ji bo veqetandina malperan ji hev hatî çêkirin dorpêç dike [S1][S2].

Cûreyên Xirabiyê

  • XSS tê reflekskirin: Nivîsarên xerab ji serîlêdana webê li geroka qurbanê têne xuyang kirin, bi gelemperî bi navgîniya parametreyek URL-ê [S1].
  • XSS hat hilanîn: Nivîsar bi domdarî li ser serverê tê hilanîn (mînak, di danegehek an beşa şîroveyê de) û paşê ji bikarhêneran re tê pêşkêş kirin [S1][S2].
  • XSS-ya-based DOM: Zelalbûn bi tevahî di koda xerîdar de heye ku daneyan ji çavkaniyek nebawer bi rengek ne ewle dişoxilîne, mîna nivîsandina innerHTML [S1].

Serastkirinên Beton

  • Daneyên li ser derketinê şîfre bikin: Berî ku hûn bidin pêşkêş kirin, daneyên ku bikarhêner-kontrolkirî vediguhezînin formek ewle. Ji bo laşê HTML-ê şîfrekirina sazûmanek HTML-ê, û ji bo wan şertên taybetî şîfrekirina JavaScript an CSS-ya guncan bikar bînin [S1][S2].
  • Ketina Parzûnê Di Hatinê de: Ji bo formatên têketina çaverêkirî navnîşên destûrnameyên hişk bicîh bînin û her tiştê ku li gorî [S1][S2] nayê red kirin.
  • Sernavên Ewlekariyê bikar bînin: Ala HttpOnly li ser çerezên danişînê bicîh bikin da ku rê li ber gihîştina JavaScript [S2] bigirin. Content-Type û X-Content-Type-Options: nosniff bikar bînin da ku gerok bersivan wekî koda îcrakar [S1] xelet şîrove nekin.
  • Siyaseta Ewlekariya Naverokê (CSP): CSP-ya xurt bi cîh bike da ku çavkaniyên ku jê têne barkirin û darvekirin sînordar bike, qatek parastinê ya kûr-ZXCVFIXVIBETOKEN0ZXFIXZVIBETOKEN.

FixVibe çawa ji bo wê diceribîne

FixVibe dikaribû XSS bi rêgezek pir-qatî li ser bingeha metodolojiyên şopandinê yên sazkirî [S1] vedîtîne:

  • Scanên Pasîf: Naskirina sernavên ewlehiyê yên wenda an qels ên mîna Content-Security-Policy an X-Content-Type-Options yên ku ji bo kêmkirina XSS Content-Security-Policy hatine sêwirandin hatine çêkirin.
  • Lêkolînên Çalak: Derzkirina rêzikên alfanumerîkî yên yekta, ne-xerab di nav parametreyên URL-ê û qadên formê de ji bo destnîşankirina ka ew di laşê bersivê de bêyî şîfrekirina rast [S1] têne xuyang kirin.
  • Skanên Repo: Analîzkirina JavaScript-ê ji bo "navber"ên ku daneyên nebawer bi nebawerî digirin, wek innerHTML, document.write, an setTimeout-ya ku nîşaneyên hevpar-bin, XSS [S1].