FixVibe
Covered by FixVibehigh

Sahypa skriptlerini (XSS) gowşaklyklary ýüze çykarmak we olaryň öňüni almak.

Sahypa skriptleri (XSS), bir programma dogry tassyklama ýa-da kodlamazdan web sahypasynda ynamsyz maglumatlary öz içine alanda ýüze çykýar. Bu hüjümçilere pidanyň brauzerinde zyýanly skriptleri ýerine ýetirmäge mümkinçilik berýär, bu bolsa sessiýanyň ogurlanmagyna, rugsatsyz hereketlere we maglumatlaryň duýgur bolmagyna sebäp bolýar.

CWE-79

Täsir

Sahypa skriptini (XSS) gowşak ulanýan hüjümçi, pida ulanyjy hökmünde maskarad edip biler, ulanyjynyň ygtyýarly bolan islendik hereketini amala aşyryp biler we ulanyjynyň islendik maglumatlaryna girip biler [S1]. Hasaplary ogurlamak üçin sessiýa gutapjyklaryny ogurlamak, giriş şahsyýet maglumatlaryny galp görnüşler arkaly ele almak ýa-da wirtual defacement [S1][S2]. Pidanyň administratiw artykmaçlyklary bar bolsa, hüjümçi programma we maglumatlara doly gözegçilik edip biler [S1].

Kök sebäp

XSS bir programma ulanyjy tarapyndan dolandyrylýan girişi alanda we [S2] kodlaşdyrylmazdan web sahypasyna girizilende ýüze çykýar. Bu, girişi pidanyň brauzeri tarapyndan işjeň mazmun (JavaScript) hökmünde düşündirmäge mümkinçilik berýär, web sahypalaryny biri-birinden izolirlemek üçin döredilen şol bir gelip çykyş syýasaty [S1][S2].

Gowşaklygyň görnüşleri

  • XSS: Zyýanly ýazgylar, web programmasynda pidanyň brauzerine, adatça URL parametri [S1] arkaly görkezilýär.
  • Saklanan XSS: scriptazgy serwerde hemişelik saklanýar (meselem, maglumat bazasynda ýa-da düşündiriş bölüminde) we soňra ulanyjylara [S1][S2].

**

Beton düzedişler

  • Çykyşdaky maglumatlary kodlamak: Ulanyjy tarapyndan dolandyrylýan maglumatlary görkezmezden ozal ygtybarly görnüşe öwüriň. HTML korpusy üçin HTML guralyny kodlamagy we şol aýratyn kontekstler üçin degişli JavaScript ýa-da CSS kodlamagy [S1][S2] ulanyň.
  • Gelişde süzgüçli giriş: Garaşylýan giriş formatlary üçin berk sanaw sanawlaryny ýerine ýetiriň we [S1][S2] laýyk gelmeýän zady ret ediň.
  • Howpsuzlyk sözbaşylaryny ulanyň: JavaScript [S2] arkaly girmeginiň öňüni almak üçin sessiýa gutapjyklarynda HttpOnly baýdagyny düzüň. Content-Type we X-Content-Type-Options: nosniff ulanyp, brauzerleriň jogaplary ýerine ýetirip boljak kod [S1] hökmünde ýalňyş düşündirmezligi üçin ulanyň.
  • Mazmun howpsuzlygy syýasaty (CSP): scriptazgylaryň ýüklenip we ýerine ýetirilip bilinjek çeşmelerini çäklendirmek üçin güýçli [S1]ZXCVFIXVIBET

FixVibe munuň üçin nädip synag edýär

FixVibe, [S1] kesgitlenen skaner usulyýetlerine esaslanýan köp gatlakly çemeleşme arkaly XSS tapyp biler:

  • Passiw skanerler: XSS [S1] ýaly ýitirilen ýa-da gowşak howpsuzlyk sözbaşylaryny kesgitlemek.

2 .. 3 .. [S1].