FixVibe
Covered by FixVibehigh

| କ୍ରସ୍-ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS) ଦୁର୍ବଳତା ଚିହ୍ନଟ ଏବଂ ପ୍ରତିରୋଧ |

| ZXCVFIXVIBESEG2 | କ୍ରସ୍-ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS) ଯେତେବେଳେ ଏକ ଅନୁପ୍ରୟୋଗ ସଠିକ୍ ବ valid ଧତା କିମ୍ବା ଏନକୋଡିଂ ବିନା ୱେବ୍ ପୃଷ୍ଠାରେ ଅବିଶ୍ୱାସନୀୟ ତଥ୍ୟ ଅନ୍ତର୍ଭୂକ୍ତ କରେ | ଏହା ଆକ୍ରମଣକାରୀଙ୍କୁ ପୀଡିତାଙ୍କ ବ୍ରାଉଜରରେ ଦୁଷ୍ଟ ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଟ୍ କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ, ଯାହା ଅଧିବେଶନ ଅପହରଣ, ଅନଧିକୃତ କାର୍ଯ୍ୟ ଏବଂ ସମ୍ବେଦନଶୀଳ ତଥ୍ୟ ଏକ୍ସପୋଜରକୁ ନେଇଥାଏ |

CWE-79

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | ଜଣେ ଆକ୍ରମଣକାରୀ ଯିଏ କ୍ରସ୍-ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଙ୍ଗ୍ (XSS) ଦୁର୍ବଳତାକୁ ପୀଡିତ ଉପଭୋକ୍ତା ଭାବରେ ମାସ୍କେରେଡ୍ କରିପାରେ, ଉପଭୋକ୍ତା କାର୍ଯ୍ୟ କରିବାକୁ ଅନୁମତିପ୍ରାପ୍ତ ଯେକ action ଣସି କାର୍ଯ୍ୟ ସମ୍ପାଦନ କରିପାରନ୍ତି ଏବଂ ଉପଭୋକ୍ତାଙ୍କର ଯେକ any ଣସି ତଥ୍ୟ [S1] କୁ ପ୍ରବେଶ କରିପାରନ୍ତି | ଖାତା ଅପହରଣ ପାଇଁ ଅଧିବେଶନ କୁକିଜ ଚୋରି କରିବା, ନକଲି ଫର୍ମ ମାଧ୍ୟମରେ ଲଗଇନ୍ ପ୍ରମାଣପତ୍ର କ୍ୟାପଚର କରିବା, କିମ୍ବା ଭର୍ଚୁଆଲ୍ ଡିଫେସମେଣ୍ଟ [S1][S2] ଅନ୍ତର୍ଭୁକ୍ତ କରେ | ଯଦି ପୀଡିତାର ପ୍ରଶାସନିକ ସୁବିଧା ଅଛି, ଆକ୍ରମଣକାରୀ ପ୍ରୟୋଗ ଏବଂ ଏହାର ତଥ୍ୟ [S1] ଉପରେ ସମ୍ପୂର୍ଣ୍ଣ ନିୟନ୍ତ୍ରଣ ହାସଲ କରିପାରିବ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | XSS ଯେତେବେଳେ ଏକ ଅନୁପ୍ରୟୋଗ ଉପଭୋକ୍ତା-ନିୟନ୍ତ୍ରିତ ଇନପୁଟ୍ ଗ୍ରହଣ କରେ ଏବଂ ସଠିକ୍ ନିରପେକ୍ଷତା କିମ୍ବା [S2] ଏନକୋଡିଂ ନକରି ଏହାକୁ ଏକ ୱେବ୍ ପୃଷ୍ଠାରେ ଅନ୍ତର୍ଭୂକ୍ତ କରେ | ଏହା ଇନପୁଟ୍କୁ ପୀଡିତାର ବ୍ରାଉଜର ଦ୍ୱାରା ସକ୍ରିୟ ବିଷୟବସ୍ତୁ (ଜାଭାସ୍କ୍ରିପ୍ଟ) ଭାବରେ ବ୍ୟାଖ୍ୟା କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ, ସମାନ ମୂଳ ନୀତିକୁ ପରସ୍ପରଠାରୁ ପୃଥକ କରିବା ପାଇଁ ଡିଜାଇନ୍ ହୋଇଥିବା [S1][S2] |

| ZXCVFIXVIBESEG7 |

ଦୁର୍ବଳତା ପ୍ରକାରଗୁଡିକ |

| ZXCVFIXVIBESEG8 |

  • ପ୍ରତିଫଳିତ XSS: ଦୁର୍ଦ୍ଦାନ୍ତ ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକ ଏକ ୱେବ୍ ଆପ୍ଲିକେସନ୍ ଦ୍ୱାରା ପୀଡିତାର ବ୍ରାଉଜରରେ ପ୍ରତିଫଳିତ ହୋଇଥାଏ, ସାଧାରଣତ a [S1] |

| ZXCVFIXVIBESEG9 |

  • ସଂରକ୍ଷିତ XSS: ସ୍କ୍ରିପ୍ଟଟି ସର୍ଭରରେ ସ୍ଥାୟୀ ଭାବରେ ଗଚ୍ଛିତ ହୋଇଛି (ଯଥା, ଏକ ଡାଟାବେସ୍ କିମ୍ବା ମନ୍ତବ୍ୟ ବିଭାଗରେ) ଏବଂ ପରେ ବ୍ୟବହାରକାରୀଙ୍କୁ [S1][S2] |

| ZXCVFIXVIBESEG10 **

| ZXCVFIXVIBESEG11

କଂକ୍ରିଟ୍ ଫିକ୍ସସ୍ |

| ZXCVFIXVIBESEG12

  • ଆଉଟପୁଟ୍ ଉପରେ ଏନକୋଡ୍ ଡାଟା: ଏହାକୁ ବ୍ୟବହାର କରିବା ପୂର୍ବରୁ ଉପଭୋକ୍ତା-ନିୟନ୍ତ୍ରିତ ତଥ୍ୟକୁ ଏକ ସୁରକ୍ଷିତ ଫର୍ମରେ ରୂପାନ୍ତର କରନ୍ତୁ | HTML ଶରୀର ପାଇଁ HTML ସଂସ୍ଥା ଏନକୋଡିଂ ବ୍ୟବହାର କରନ୍ତୁ, ଏବଂ ସେହି ନିର୍ଦ୍ଦିଷ୍ଟ ପ୍ରସଙ୍ଗଗୁଡ଼ିକ ପାଇଁ ଉପଯୁକ୍ତ ଜାଭାସ୍କ୍ରିପ୍ଟ କିମ୍ବା CSS ଏନକୋଡିଂ ବ୍ୟବହାର କରନ୍ତୁ [S1][S2] |

| ZXCVFIXVIBESEG13 | ** | ZXCVFIXVIBESEG14

  • ସୁରକ୍ଷା ହେଡର୍ ବ୍ୟବହାର କରନ୍ତୁ: ଜାଭାସ୍କ୍ରିପ୍ଟ [S2] ମାଧ୍ୟମରେ ପ୍ରବେଶକୁ ରୋକିବା ପାଇଁ ଅଧିବେଶନ କୁକିଜରେ HttpOnly ପତାକା ସେଟ୍ କରନ୍ତୁ | Content-Type ଏବଂ X-Content-Type-Options: nosniff ବ୍ୟବହାର କରନ୍ତୁ ବ୍ରାଉଜର୍ ଗୁଡିକ ଏକଜେକ୍ୟୁଟେବଲ୍ କୋଡ୍ [S1] ଭାବରେ ପ୍ରତିକ୍ରିୟାଗୁଡ଼ିକୁ ଭୁଲ ଭାବରେ ବ୍ୟାଖ୍ୟା କରିବେ ନାହିଁ ନିଶ୍ଚିତ କରନ୍ତୁ |

| ZXCVFIXVIBESEG15 **

| ZXCVFIXVIBESEG16 |

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG17 FixVibe ସ୍ଥାପିତ ସ୍କାନିଂ ପଦ୍ଧତି ଉପରେ ଆଧାର କରି XSS କୁ ବହୁ ସ୍ତରୀୟ ପଦ୍ଧତି ମାଧ୍ୟମରେ ଚିହ୍ନଟ କରିପାରିବ: [S1]: | ZXCVFIXVIBESEG18 । | ZXCVFIXVIBESEG19 | ୨। | ।। [S1] |