FixVibe
Covered by FixVibehigh

דיטעקטינג און פּרעווענטינג קרייַז-פּלאַץ סקריפּטינג (XSS) וואַלנעראַביליטיז

קרייַז-פּלאַץ סקריפּטינג (XSS) אַקערז ווען אַ אַפּלאַקיישאַן ינקלודז אַנטראַסטיד דאַטן אין אַ וועב בלאַט אָן געהעריק וואַלאַדיישאַן אָדער קאָדירונג. דאָס אַלאַוז אַטאַקערז צו ויספירן בייזע סקריפּס אין דעם בלעטערער פון די קאָרבן, וואָס פירן צו סעסיע כיידזשאַקינג, אַנאָטערייזד אַקשאַנז און שפּירעוודיק דאַטן ויסשטעלן.

CWE-79

אימפאקט

אַ אַטאַקער וואָס הצלחה עקספּלויץ אַ קרייז-פּלאַץ סקריפּטינג (XSS) וואַלנעראַביליטי קענען זיין מאַסיוו ווי אַ קאָרבן באַניצער, דורכפירן קיין קאַמף וואָס דער באַניצער איז אָטערייזד צו דורכפירן, און אַקסעס קיין פון די באַניצער דאַטן [S1]. דאָס כולל סטילינג סעסיע קיכלעך צו כיידזשאַק אַקאַונץ, קאַפּטשערינג לאָגין קראַדענטשאַלז דורך שווינדל פארמען, אָדער דורכפירן ווירטועל דיפאַסע [S1][S2]. אויב די קאָרבן האט אַדמיניסטראַטיווע פּריווילאַדזשאַז, דער אַטאַקער קענען באַקומען פול קאָנטראָל איבער די אַפּלאַקיישאַן און זייַן דאַטן [S1].

וואָרצל גרונט

XSS אַקערז ווען אַ אַפּלאַקיישאַן נעמט באַניצער-קאַנטראָולאַבאַל אַרייַנשרייַב און ינקלודז עס אין אַ וועב בלאַט אָן געהעריק נוטראַלאַזיישאַן אָדער קאָדירונג [S2]. דאָס אַלאַוז די אַרייַנשרייַב צו זיין ינטערפּראַטאַד ווי אַקטיוו אינהאַלט (דזשאַוואַסקריפּט) דורך די בלעטערער פון די קאָרבן, סערקאַמווענטינג די סאַמע אָריגין פּאָליטיק דיזיינד צו יזאָלירן וועבסיטעס פון יעדער אנדערער [S1][S2].

וואַלנעראַביליטי טייפּס

  • רעפלעקטעד XSS: בייזע סקריפּס זענען שפיגלט פֿון אַ וועב אַפּלאַקיישאַן צו דעם בלעטערער פון די קאָרבן, טיפּיקלי דורך אַ URL פּאַראַמעטער [S1].
  • סטאָרד XSS: דער שריפט איז פּערמאַנאַנטלי סטאָרד אויף די סערווער (למשל, אין אַ דאַטאַבייס אָדער קאָמענטאַר אָפּטיילונג) און געדינט צו יוזערז שפּעטער [S1][S2].
  • DOM-באזירט XSS: די וואַלנעראַביליטי יגזיסץ לעגאַמרע אין קליענט-זייַט קאָד וואָס פּראַסעסאַז דאַטן פון אַן אַנטראַסטיד מקור אויף אַ אַנסייף וועג, אַזאַ ווי שרייבן צו innerHTML [S1].

באַטאָנען פיקסיז

  • ** ענקאָוד דאַטאַ אויף רעזולטאַט: גער באַניצער-קאַנטראָולאַבאַל דאַטן אין אַ זיכער פאָרעם איידער רענדערינג עס. ניצן HTML ענטיטי קאָדירונג פֿאַר די HTML גוף, און צונעמען דזשאַוואַסקריפּט אָדער CSS קאָדירונג פֿאַר די ספּעציפיש קאַנטעקסץ [S1][S2].
  • פילטער אַרייַנשרייַב אויף אָנקומען: ינסטרומענט שטרענג אַלאַואַליסץ פֿאַר דערוואַרט אַרייַנשרייַב פֿאָרמאַטירונגען און אָפּוואַרפן אַלץ וואָס איז נישט קאַנפאָרם [S1][S2].
  • ניצן זיכערהייט כעדערז: שטעלן די HttpOnly פאָן אויף סעסיע קיכלעך צו פאַרמייַדן אַקסעס דורך דזשאַוואַסקריפּט [S2]. ניצן Content-Type און X-Content-Type-Options: nosniff צו ענשור אַז בראַוזערז טאָן ניט פאַלש ינטערפּריט רעספּאָנסעס ווי עקסעקוטאַבלע קאָד [S1].
  • אינהאַלט זיכערהייט פּאָליטיק (CSP): צעוויקלען אַ שטאַרק CSP צו באַגרענעצן די קוואלן פֿון וואָס סקריפּס קענען זיין לאָודיד און עקסאַקיוטאַד, פּראַוויידינג אַ פאַרטיידיקונג-אין-טיפקייַט שיכטע ZXCVIXVIBETOKEN0ZXCV[S2]ZXCVIXVIBETOKEN1.

ווי FixVibe טעסץ פֿאַר עס

FixVibe קען דעטעקט XSS דורך אַ מאַלטי-לייערד צוגאַנג באזירט אויף געגרינדעט סקאַנינג מעטאַדאַלאַדזשיז [S1]:

  • פּאַסיוו סקאַנז: ידענטיפיצירן פעלנדיק אָדער שוואַך זיכערהייט כעדערז ווי Content-Security-Policy אָדער X-Content-Type-Options וואָס זענען דיזיינד צו פאַרמינערן XSS [S1].
  • אַקטיוו פּראָבעס: ינדזשעקטינג יינציק, ניט-בייזע אַלפאַנומעריק סטרינגס אין URL פּאַראַמעטערס און פאָרעם פעלדער צו באַשליסן אויב זיי זענען שפיגלט אין די ענטפער גוף אָן געהעריק קאָדירונג [S1].
  • רעפּאָ סקאַנז: אַנאַלייזינג דזשאַוואַסקריפּט אויף די קליענט זייַט פֿאַר "סינקס" וואָס שעפּן אַנטראַסטיד דאַטן אַנסייף, אַזאַ ווי innerHTML, document.write אָדער setTimeout, וואָס זענען פּראָסט ינדיקאַטאָרס פון innerHTML, אָדער setTimeout, וואָס זענען פּראָסט ינדיקאַטאָרס פון innerHTML [S1].