FixVibe
Covered by FixVibehigh

Сайттар аралык скрипттерди аныктоо жана алдын алуу (XSS)

Cross-Site Scripting (XSS) тиркеме туура текшерүүсүз же коддолбостон веб-баракчага ишенимсиз маалыматтарды камтыганда пайда болот. Бул чабуулчуларга жабырлануучунун браузеринде зыяндуу скрипттерди аткарууга мүмкүндүк берет, бул сеанстарды уурдоого, уруксатсыз аракеттерге жана купуя маалыматтардын ачыкка чыгышына алып келет.

CWE-79

Таасири

Cross-Site Scripting (XSS) аялуулугун ийгиликтүү пайдаланган чабуулчу жабырлануучу колдонуучу катары маскараланып, колдонуучу аткарууга уруксат берилген бардык аракеттерди жасап, [S1] колдонуучунун каалаган маалыматтарына кире алат. Буга аккаунттарды басып алуу үчүн сеанс кукилерин уурдоо, жасалма формалар аркылуу кирүү эсептик дайындарын басып алуу же [S1][S2] виртуалдык бузулууларды жасоо кирет. Жабырлануучу административдик артыкчылыктарга ээ болсо, чабуулчу тиркемени жана анын маалыматтарын [S1] толук көзөмөлдөй алат.

Негизги себеп

XSS тиркеме колдонуучу башкара ала турган киргизүүнү алганда жана аны [S2] туура нейтралдаштырбастан же коддоосуз веб-баракчага камтыганда пайда болот. Бул веб-сайттарды бири-биринен обочолонтуу үчүн иштелип чыккан Ошол эле Origin саясатын айланып өтүп, жабырлануучунун браузери тарабынан киргизүүнү активдүү мазмун (JavaScript) катары чечмелөөгө мүмкүндүк берет [S1][S2].

Аялуу түрлөрү

  • Чагылган XSS: Зыяндуу скрипттер веб-тиркемеден жабырлануучунун браузерине чагылдырылат, адатта [S1] URL параметри аркылуу.
  • Сакталган XSS: Скрипт серверде биротоло сакталат (мис., маалымат базасында же комментарий бөлүмүндө) жана кийинчерээк [S1][S2] колдонуучуларга кызмат кылат.
  • DOM негизиндеги XSS: Абал толугу менен кардарлардын кодунда бар, ал ишенимсиз булактан алынган маалыматтарды innerHTML [S1]ге жазуу сыяктуу кооптуу жол менен иштетет.

Бетон оңдоолор

  • Чыгуудагы маалыматтарды коддоо: Колдонуучу тарабынан башкарылуучу маалыматты көрсөтүүдөн мурун коопсуз формага айландырыңыз. HTML тулкусу үчүн HTML объектинин коддоосун жана ошол конкреттүү контексттер үчүн тиешелүү JavaScript же CSS коддоосун колдонуңуз [S1][S2].
  • Кирүүдө киргизүүнү чыпкалоо: Күтүлгөн киргизүү форматтары үчүн катуу уруксат берилген тизмелерди киргизиңиз жана [S1][S2]ге туура келбеген нерселердин баарын четке кагыңыз.
  • Коопсуздук аталыштарын колдонуңуз: JavaScript [S2] аркылуу кирүүгө жол бербөө үчүн сеанс кукилерине HttpOnly желегин орнотуңуз. Серепчилер жоопторду [S1] аткарылуучу код катары туура эмес чечмелөө үчүн Content-Type жана X-Content-Type-Options: nosniff колдонуңуз.
  • Мазмундун коопсуздугу саясаты (CSP): Скрипттерди жүктөй турган жана аткарыла турган булактарды чектөө үчүн күчтүү CSP орнотуп, терең коргоо катмарын [S1]ZOKVCVCVCVCV.

FixVibe аны кантип сынайт

FixVibe XSS [S1] белгиленген сканерлөө методологияларына негизделген көп катмарлуу мамиле аркылуу аныктай алат:

  • Пассивдүү сканерлөө: Content-Security-Policy же X-Content-Type-Options сыяктуу XSS ZXCVFIXVIBETOKEN2ZXVCV сыяктуу жетишпеген же начар коопсуздук аталыштарын аныктоо.
  • Активдүү текшерүүлөр: URL параметрлерине жана форма талааларына уникалдуу, зыяндуу эмес алфавиттик-сандык саптарды киргизүү, алардын [S1] туура коддолбостон жооп корпусунда чагылдырылганын аныктоо.
  • Репо скандоолору: innerHTML, document.write же setTimeout сыяктуу ишенимсиз маалыматтарды кооптуу иштеткен "чөгүп" үчүн кардар тарабынан JavaScript талдоо [S1].