FixVibe
Covered by FixVibehigh

Mitadiava sy misoroka ny vulnerability amin'ny Scripting Cross-site (XSS)

Ny Scripting Cross-Site (XSS) dia mitranga rehefa misy rindranasa misy angona tsy azo itokisana amin'ny pejin-tranonkala tsy misy fanamarinana na famandrihana araka ny tokony ho izy. Izany dia ahafahan'ny mpanafika manatanteraka sora-baventy maloto ao amin'ny mpitety tranonkalan'ilay niharam-boina, ka mitarika amin'ny fakàna an-keriny fivoriana, hetsika tsy nahazoana alalana, ary fampitana angon-drakitra saro-pady.

CWE-79

Fiantraikany

Ny mpanafika iray izay manararaotra tsara ny vulnerability Cross-Site Scripting (XSS) dia afaka misaron-tava ho mpampiasa niharam-boina, manatanteraka izay rehetra omen'ny mpampiasa atao, ary miditra amin'ny angon'ny mpampiasa [S1]. Tafiditra ao anatin'izany ny fangalarana cookies amin'ny fotoam-pivoriana hanodinana kaonty, ny fakana ny fahazoan-dàlana fidirana amin'ny alàlan'ny endrika sandoka, na ny fanimbana virtoaly [S1][S2]. Raha manana tombontsoa ara-pitantanana ilay niharam-boina, dia afaka mifehy tanteraka ny fampiharana sy ny angon-drakitra [S1] ilay mpanafika.

Antony fototra

Mitranga ny XSS rehefa mahazo fidirana azo fehezin'ny mpampiasa ny rindranasa iray ary mampiditra azy ao anaty pejin-tranonkala tsy misy faneriterena na fandiovana [S2]. Izany dia mamela ny fidirana ho adika ho votoaty mavitrika (JavaScript) ataon'ny mpitety tranonkalan'ilay niharam-boina, mihodinkodina ny Same Origin Policy natao hanasaraka ireo vohikala [S1][S2].

Karazana vulnerability

  • XSS hita taratra: Ny sora-baventy maloto dia hita taratra amin'ny rindranasa amin'ny tranonkala mankany amin'ny mpitety tranonkalan'ilay niharam-boina, matetika amin'ny alàlan'ny mari-pamantarana URL [S1].
  • XSS voatahiry: Voatahiry tanteraka ao amin'ny lohamilina ny script (oh : ao anaty tahiry na sehatra fanehoan-kevitra) ary atolotra ho an'ny mpampiasa taty aoriana [S1][S2].
  • XSS miorina amin'ny DOM: Ny vulnerability dia misy tanteraka amin'ny kaody eo amin'ny lafiny mpanjifa izay manodina angona avy amina loharano tsy atokisana amin'ny fomba tsy azo antoka, toy ny fanoratana amin'ny innerHTML [S1].

Fanamboarana simenitra

  • Encode Data amin'ny Output: Ampiova ny angona fehezin'ny mpampiasa ho endrika azo antoka alohan'ny hamerenana azy. Mampiasà fandiovana enti-manana HTML ho an'ny vatana HTML, ary fandokoana JavaScript na CSS mety ho an'ireo toe-javatra manokana ireo [S1][S2].
  • Fampidirana sivana amin'ny fahatongavana: Mampihatra lisitra fahazoan-dàlana hentitra ho an'ny endrika fampidirana andrasana ary tsipaho izay rehetra tsy mifanaraka amin'ny [S1][S2].
  • Mampiasà Loham-piarovana: Apetraho eo amin'ny cookies session ny saina HttpOnly mba hisorohana ny fidirana amin'ny alàlan'ny JavaScript [S2]. Ampiasao ny Content-Type sy X-Content-Type-Options: nosniff mba hahazoana antoka fa tsy mandika vilana ny valin'ny navigateur ho kaody azo ampiasaina [S1].
  • Politika fiarovana amin'ny votoaty (CSP): Mametraha CSP matanjaka mba hamerana ny loharano azo ampidirina sy hanatanterahana ny sora-baventy, manome sosona fiarovana [S1]XBXCVIKVIX.

Ahoana no andrana FixVibe momba izany

FixVibe dia mety hamantatra ny XSS amin'ny alalan'ny fomba maro sosona mifototra amin'ny fomba fisavana napetraka [S1]:

  • Sysant passive: Famantarana lohapejy fiarovana tsy hita na malemy toa ny Content-Security-Policy na X-Content-Type-Options izay natao hanalefahana ny XSS [S1].
  • Mpikarohana mavitrika: Manindrona tady alfanumerika tsy manam-paharoa sy tsy mampidi-doza ao amin'ny mari-pamantarana URL sy sahan'ny endrika mba hamaritana raha hita taratra ao amin'ny vatan'ny valin-teny tsy misy famandrihana marina [S1].
  • Repo Scans: Famakafakana JavaScript amin'ny lafiny mpanjifa momba ny "rendrika" izay mitantana angon-drakitra tsy azo itokisana amin'ny fomba tsy azo antoka, toy ny innerHTML, document.write, na setTimeout, izay tondro mahazatra an'ny DOMFIXVIZBETOVIX4ZXCV miorina amin'ny DOMFIX. [S1].