jedhamuun beekama ZXCVFIXVIBESEG3
Dhiibbaa
jedhamuun beekama ZXCVFIXVIBESEG4 Haleellaan milkaa'inaan saaxilamummaa Iskiriiptii Qaxxaamuraa (XSS) fayyadamu akka fayyadamaa miidhamaa fakkeessee, gocha fayyadamaan raawwachuuf hayyamame kamiyyuu raawwachuu, fi deetaa fayyadamaa kamiyyuu [S1] argachuu danda'a. Kunis kukiiwwan turtii hatuun akkaawuntii butachuuf, mirkaneessitoota seensaa karaa unka sobaa qabachuu, ykn jal'ina dhugaa raawwachuu [S1][S2] dabalata. Yoo miidhamaan mirga bulchiinsaa qabaate, haleellaan sun application fi deetaa isaa [S1] irratti to'annoo guutuu argachuu danda'a.
jedhamuun beekama ZXCVFIXVIBESEG5
Hundee Sababaa
jedhamuun beekama ZXCVFIXVIBESEG6 XSS kan uumamu yeroo aplikeeshiniin tokko galtee fayyadamaan to'atamu fudhatee fuula weeb keessatti osoo sirnaan niwutraalaayizeeshinii ykn koodii [S2] hin godhin hammatedha. Kunis galteen akka qabiyyee sochii qabuutti (JavaScript) biraawzari miidhamaatiin akka hiikamu kan taasisu yoo ta'u, Imaammata Ka'umsa Wal fakkaatu kan marsariitiiwwan walirraa adda baasuuf qophaa'e [S1][S2].
jedhamuun beekama ZXCVFIXVIBESEG7
Gosa Saaxilamummaa
jedhamuun beekama ZXCVFIXVIBESEG8
- XSS calaqqise: Iskiriiptoonni hamaa application weeb irraa gara biraawzari miidhamaa calaqqisu, akkaataa idileetti karaa parameetara URL [S1].
jedhamuun beekama ZXCVFIXVIBESEG9
- Kuufama XSS: Iskiriiptiin dhaabbataadhaan sarvarii irratti kuufamee (fkn, kuusdeetaa ykn kutaa yaada keessatti) fi fayyadamtoota booda [S1][S2] tajaajila.
jedhamuun beekama ZXCVFIXVIBESEG10 irratti kan argamu
- DOM irratti hundaa'e XSS: Saaxilamummaan guutummaatti koodii gama maamilaa kan madda hin amanamne irraa deetaa haala nageenya hin qabneen adeemsisu keessatti argama, kan akka
innerHTML[S1] barreessuu.
jedhamuun beekama ZXCVFIXVIBESEG11
Sirreeffama Konkiriitii
jedhamuun beekama ZXCVFIXVIBESEG12 irratti kan argamu
- Deetaa Bu'aa irratti Encode: Deetaa fayyadamaan to'atamu gara unka nageenya qabuutti jijjiiri osoo hin agarsiisin. Qaama HTML tiif koodii qaama HTML fayyadami, fi koodii JaavaScript ykn CSS sirrii haalawwan addaa sanaaf [S1][S2].
jedhamuun beekama ZXCVFIXVIBESEG13
- Galtee Yeroo Dhuftu Caalbaasii: Tarreewwan hayyamaa ciccimoo bifa galtee eegamaniif hojiirra oolchuu fi waan [S1][S2] wajjin wal hin simne kamiyyuu diduu.
jedhamuun beekama ZXCVFIXVIBESEG14
- Mata dureewwan Nageenyaa fayyadami: Alaabaa
HttpOnlykukiiwwan turtii irratti saagi karaa JaavaScript [S2] akka hin seenne.Content-TypefiX-Content-Type-Options: nosnifffayyadamii, biraawzaroonni deebii akka koodii raawwatamuu danda'u [S1]tti dogoggoraan akka hin hiikne mirkaneessuuf.
jedhamuun beekama ZXCVFIXVIBESEG15 irratti kan argamu
- Imaammata Nageenya Qabiyyee (CSP): Maddoota iskiriiptii irraa fe'amuu fi raawwatamuu danda'an daangessuuf CSP cimaa bobbaasuu, laayibarii ittisa-gadi fageenyaa kennuu [S1][S2].
jedhamuun beekama ZXCVFIXVIBESEG16
Akkamitti FixVibe itti qorata
jedhamuun beekama ZXCVFIXVIBESEG17 FixVibe XSS malawwan skaaniin hundeeffaman irratti hundaa’uun mala dachaa hedduutiin adda baasuu danda’a [S1]: jedhamuun beekama ZXCVFIXVIBESEG18
- Passive Scans: Mata duree nageenyaa dhabame ykn dadhabaa kan akka
Content-Security-PolicyyknX-Content-Type-Optionskan XSS [S1] salphisuuf qophaa'e adda baasuu.
jedhamuun beekama ZXCVFIXVIBESEG19
- Qorannoowwan Socho'an: Dhangiiwwan qubee lakkoofsaa adda ta'an, hamaa hin taane gara parameetaroota URL fi man'ee unkaatti lilmoodhaan qaama deebii keessatti calaqqisuu isaanii murteessuu osoo sirnaan hin koodii [S1].
- Repo Scans: JaavaScript gama maamilaa "sinks" kanneen deetaa hin amanamne haala nageenya hin qabneen qabataniif xiinxaluu, kan akka
innerHTML,document.write, yknsetTimeout, kanneen agarsiistota waliigalaa DOM irratti hundaa'e XSS [S1] jedhamuun beekama.