FixVibe
Covered by FixVibehigh

Su'esu'eina ma Puipuia Fa'amatalaga Fa'asaga i Nofoaga (XSS) Fa'aletonu

Fa'amaufa'ailoga Feso'ota'i (XSS) e tupu pe a iai se tusi talosaga e aofia ai fa'amatalaga e le fa'atuatuaina i totonu o se itulau web e aunoa ma le fa'amaoniaina po'o le fa'ailoga. Ole mea lea e mafai ai e tagata osofa'i ona fa'atino ni tusitusiga leaga ile su'esu'ega a le tagata manu'a, e o'o atu ai i le faomeaina o sauniga, gaioiga e le'i fa'atagaina, ma fa'aalia fa'amatalaga ma'ale'ale.

CWE-79

Aafiaga

O se tagata osofa'i na te fa'aogaina ma le manuia se Fa'amatalaga Fa'asinomaga Koluse (XSS) fa'aletonu e mafai ona fa'afoliga o se tagata fa'amanu'alia, faia so'o se gaioiga ua fa'atagaina le tagata e fa'atino, ma maua so'o se fa'amatalaga a le tagata fa'aoga [S1]. E aofia ai le gaoia o kuki o le sauniga e faoa ai tala, pu'eina o fa'ailoga e saini e ala i pepa fa'asese, po'o le fa'aogaina o le fa'aogaina [S1][S2]. Afai e i ai i le tagata manua ni avanoa tau pulega, e mafai e le tagata osofaʻi ona maua le pule atoatoa i luga o le talosaga ma ana faʻamatalaga [S1].

Mafua'aga

XSS e tupu pe a maua e se tusi talosaga mea e mafai ona pulea e le tagata ma faʻapipiʻi i totonu o se itulau web e aunoa ma le faʻaogaina lelei poʻo le faʻaogaina o le [S2]. Ole mea lea e mafai ai ona fa'auigaina le fa'aulufaleina o mea fa'agaoioi (JavaScript) e le su'esu'ega a le tagata manu'a, fa'asaga i le Same Origin Policy na fuafuaina e fa'aesea ai upegatafa'ilagi mai le tasi i le isi [S1][S2].

Ituaiga Fa'aletonu

  • Fa'aali XSS: O lo'o atagia mai tusitusiga leaga i luga o le upegatafa'ilagi i le su'esu'ega a le tagata manua, e masani lava e ala i se fa'ailoga URL [S1].
  • Teuina XSS: O loʻo teuina tumau le faʻamaumauga i luga o le server (faʻataʻitaʻiga, i totonu o se faʻamaumauga poʻo se vaega o faʻamatalaga) ma tuʻuina atu i tagata faʻaoga mulimuli ane [S1][S2].
  • XSS fa'avae DOM: O lo'o iai atoa le fa'aletonu i le fa'ailoga tagata o lo'o fa'agasolo fa'amaumauga mai se puna e le talitonuina i se auala e le saogalemu, e pei o le tusitusi i le innerHTML [S1].

Fa'atonu Sima

  • Fa'ailoga Fa'amatalaga i Fa'amatalaga: Su'i fa'amaumauga e mafai ona fa'aogaina e le tagata fa'aoga i se pepa saogalemu a'o le'i tu'uina atu. Fa'aoga le fa'ailoga HTML mo le tino HTML, ma le fa'ailoga JavaScript po'o le CSS mo na tulaga fa'apitoa [S1][S2].
  • Fili Fa'aulu ile taunu'u: Fa'atino lisi fa'ataga mo fa'atonuga fa'aoga ma tete'e so'o se mea e le ogatasi [S1][S2].
  • Fa'aoga Ulutala Saogalemu: Seti le fu'a HttpOnly i kuki o sauniga e taofia ai le avanoa e ala i le JavaScript [S2]. Fa'aaoga le Content-Type ma le X-Content-Type-Options: nosniff e fa'amautinoa ai e le fa'auigaseseina e tagata su'esu'e tali o se code fa'atino [S1].
  • Faiga Faʻavae Puipuiga (CSP): Faʻapipiʻi se CSP malosi e faʻatapulaʻa ai faʻapogai e mafai ona utaina ma faʻatino ai tusitusiga, e tuʻuina atu ai se puipuiga-i-le-loloto layer [S1]ZXCVIKVIX1ZXCVZXCVIKVIX.

Fa'afefea ona su'e le FixVibe

E mafai e le FixVibe ona iloa le XSS e ala i le fa'avasegaina o auala e fa'avae i luga o metotia fa'amautu [S1]:

  • Passive Scans: Fa'ailoaina o lo'o misi pe vaivai fa'aulutala malu pei o le Content-Security-Policy poʻo le X-Content-Type-Options ua mamanuina e faʻaitiitia ai le XSS [S1].
  • Su'esu'ega Fa'atino: Tu'iina fa'ailoga fa'ailoga fa'ailoga fa'apitoa, e le fa'aleagaina i totonu o fa'amaufa'ailoga URL ma fa'atūina fanua e iloa ai pe fa'aalia i totonu o le tino tali e aunoa ma le fa'ailoga talafeagai [S1].
  • Repo Scans: Iloiloga o le JavaScript mo le "gogo" o loʻo taulimaina faʻamatalaga e le talitonuina ma le le saogalemu, e pei o le innerHTML, document.write, poʻo le setTimeout, o faʻailoga masani ia o le DOMFIXVIZXBEX4ZXCV, o faʻailoga masani a le DOMFIX4ZXBE. [S1].