FixVibe
Covered by FixVibehigh

क्रॉस्-साइट स्क्रिप्टिङ्ग् (XSS) दुर्बलतायाः अन्वेषणं निवारणं च

क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) तदा भवति यदा कश्चन अनुप्रयोगः समुचितसत्यापनं वा एन्कोडिंगं वा विना जालपुटे अविश्वसनीयदत्तांशं समावेशयति । एतेन आक्रमणकारिणः पीडितस्य ब्राउजरे दुर्भावनापूर्णानि स्क्रिप्ट्-निष्पादयितुं शक्नुवन्ति, येन सत्र-अपहरणं, अनधिकृत-क्रियाः, संवेदनशील-दत्तांश-प्रकाशनं च भवति ।

CWE-79

प्रभाव

यः आक्रमणकारी क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) दुर्बलतायाः सफलतया शोषणं करोति सः पीडितप्रयोक्तृरूपेण वेषं धारयितुं शक्नोति, उपयोक्तुः अधिकृतः यत्किमपि कार्यं कर्तुं शक्नोति, उपयोक्तुः कस्यापि आँकडानां [S1] अभिगन्तुं च शक्नोति अस्मिन् खातानां अपहरणार्थं सत्रकुकीजं चोरणं, नकलीप्रपत्राणां माध्यमेन प्रवेशप्रमाणपत्राणां ग्रहणं, अथवा आभासीविकृतीकरणं [S1][S2] इति समावेशः अस्ति यदि पीडितस्य प्रशासनिकविशेषाधिकाराः सन्ति तर्हि आक्रमणकारी अनुप्रयोगस्य तस्य आँकडानां च पूर्णं नियन्त्रणं प्राप्तुं शक्नोति [S1] ।

मूलकारणम्

XSS तदा भवति यदा कश्चन अनुप्रयोगः उपयोक्तृनियन्त्रनीयं निवेशं प्राप्नोति तथा च उचितं निष्प्रभावीकरणं वा [S2] एन्कोडिंगं वा विना जालपुटे समावेशयति। एतेन निवेशस्य व्याख्या पीडितेः ब्राउजर् द्वारा सक्रियसामग्री (JavaScript) इति भवितुं शक्यते, यत् एकस्मात् वेबसाइट्-स्थानानि परस्परं पृथक् कर्तुं डिजाइनं कृतं समान-उत्पत्तिनीतिं परिहृत्य [S1][S2]

भेद्यता प्रकार

  • प्रतिबिम्बितम् XSS: दुर्भावनापूर्णाः स्क्रिप्टाः पीडितस्य ब्राउजर् प्रति जाल-अनुप्रयोगात् परावर्तिताः भवन्ति, सामान्यतया URL पैरामीटर् [S1] इत्यस्य माध्यमेन।
  • संगृहीत XSS: स्क्रिप्ट् स्थायिरूपेण सर्वरे (उदा., आँकडाधारे अथवा टिप्पणीखण्डे) संगृहीता भवति तथा च पश्चात् उपयोक्तृभ्यः परोक्षिता भवति [S1][S2].
  • DOM-आधारित XSS: भेद्यता पूर्णतया क्लायन्ट्-पक्षीय-सङ्केते विद्यते यत् अविश्वसनीय-स्रोततः आँकडान् असुरक्षितरीत्या संसाधयति, यथा innerHTML [S1] - मध्ये लेखनम्

कंक्रीट फिक्स

  • Output इत्यत्र Data Encode: उपयोक्तृ-नियन्त्रित-दत्तांशं रेण्डर्-करणात् पूर्वं सुरक्षितरूपेण परिवर्तयन्तु । HTML निकायस्य कृते HTML इकाई एन्कोडिंग् इत्यस्य उपयोगं कुर्वन्तु, तथा च तेषां विशिष्टसन्दर्भाणां कृते उपयुक्तं JavaScript अथवा CSS एन्कोडिंग् [S1][S2].
  • आगमनसमये इनपुटं फ़िल्टर: अपेक्षितनिवेशस्वरूपाणां कृते सख्त अनुमतिसूचीं कार्यान्वितं कुर्वन्तु तथा च यत्किमपि [S1][S2] अनुरूपं न भवति तत् अङ्गीकुर्वन्तु।
  • सुरक्षाशीर्षकाणां उपयोगं कुर्वन्तु: जावास्क्रिप्ट् [S2] मार्गेण प्रवेशं निवारयितुं सत्रकुकीजेषु HttpOnly ध्वजं सेट् कुर्वन्तु। ब्राउजर् प्रतिक्रियाणां निष्पादनीयसङ्केत [S1] इति दुर्व्याख्यां न कुर्वन्ति इति सुनिश्चित्य Content-Type तथा X-Content-Type-Options: nosniff इत्येतयोः उपयोगं कुर्वन्तु ।
  • सामग्रीसुरक्षानीतिः (CSP): एकं सशक्तं CSP परिनियोजयन्तु यस्मात् स्रोतांसि स्क्रिप्ट् लोड् कर्तुं निष्पादयितुं च शक्यते, रक्षा-गहनस्तरं प्रदातुं शक्यते [S1][S2].

FixVibe तस्य परीक्षणं कथं करोति

FixVibe स्थापितानां स्कैनिङ्गपद्धतीनां आधारेण बहुस्तरीयदृष्टिकोणस्य माध्यमेन XSS इत्यस्य अन्वेषणं कर्तुं शक्नोति स्म [S1]:

  • निष्क्रिय स्कैन: Content-Security-Policy अथवा X-Content-Type-Options इत्यादीनां अनुपलब्धानां अथवा कमजोरानां सुरक्षाशीर्षकाणां पहिचानं यत् XSS [S1] इत्यस्य न्यूनीकरणाय डिजाइनं कृतम् अस्ति।
  • सक्रिय अन्वेषणम्: URL पैरामीटर्स् तथा फॉर्म फील्ड्स् मध्ये अद्वितीयं, गैर-दुर्भावनापूर्णं अल्फान्यूमेरिक स्ट्रिंग्स् इन्जेक्शन् कृत्वा निर्धारयितुं यत् ते उचित एन्कोडिंग् विना प्रतिक्रियाशरीरे प्रतिबिम्बिताः सन्ति वा [S1].
  • Repo Scans: "सिंक" कृते क्लायन्ट-पक्षीय जावास्क्रिप्ट् विश्लेषणं यत् अविश्वसनीयं आँकडाम् असुरक्षिततया नियन्त्रयति, यथा innerHTML, document.write, अथवा setTimeout, ये DOM-आधारित XSS इत्यस्य सामान्यसूचकाः सन्ति [S1].