معلومات البرمجة النصية عبر الموقع

تحتوي هذه الصفحة على معلومات حول مشكلة أمان Cross Site Scripting ، وكيفية تأثيرها على Apache نفسه ، وكيفية الحماية منها بشكل صحيح عند استخدام التقنيات ذات الصلة بـ Apache للحصول على نظرة عامة حول المشكلة ، يرجى مراجعة CERT Advisory CA-2000-02 الذي تم إصداره حول هذه المشكلة. يجب عليك أيضًا مراجعة مستند التلميحات التقنية المتعلقة بفهم تخفيف المحتوى الضار لمطوري الويب. يحتوي استشاري CERT أيضًا على روابط لعدد من المستندات التي وضعتها Microsoft بشأن المشكلة والتي تستحق المراجعة أيضًا إذا كانت هذه المشكلة تؤثر عليك. لن تتكرر المعلومات الواردة في هذه الوثائق هنا ؛ تفترض هذه المعلومات أنك قد قرأت هذه المستندات وأنك على دراية بالمشكلة نود التأكيد على أن هذا ليس هجومًا ضد أي خطأ محدد في برنامج معين. انها ليست مشكلة اباتشي. إنها ليست مشكلة مايكروسوفت. إنها ليست مشكلة نتسكيب. في الواقع ، إنها ليست مشكلة يمكن تعريفها بوضوح على أنها مشكلة خادم أو مشكلة عميل. إنها مشكلة عبر النظام الأساسي حقًا وهي نتيجة تفاعلات غير متوقعة وغير متوقعة بين المكونات المختلفة لمجموعة من الأنظمة المعقدة المترابطة هناك أخطاء محددة في مجموعة واسعة من منتجات خوادم الويب ، بما في ذلك Apache ، التي تسمح باستغلال هذه المشكلة الأمنية أو تساهم في ذلك. لا ينبغي أن تكون هذه الأخطاء موجودة وتحتاج إلى إصلاح. لكن من المهم أن ندرك أن هذا ليس سوى جزء صغير من القضية الإجمالية. أخطر مشكلة هي في كل رمز خاص بالموقع الذي ينشئ محتوى ديناميكيًا. نقدم لك هذه المعلومات لتثقيفك حول المشكلات التي تم اكتشافها في Apache والتي تتعلق بمشكلة الأمان هذه ، ولكن الأهم من ذلك ، المساعدة في تثقيفك حول كيفية تأثير ذلك على الكود المحلي الخاص بك الذي تم تطويره باستخدام التقنيات المتعلقة بـ Apache وكيف يمكنك يمكن إصلاحه لا يوجد تصحيح "رصاصة ذهبية"يمكن لموردي الخادم أو العميل إصداره والذي سيعمل على حل هذه المشكلة بطريقة سحرية عبر جميع خوادم الويب أو العملاء الذين يستخدمون هذا المنتج نود أيضًا أن نشير إلى أنه من المهم أن نفهم أن هذه ليست المشكلة القديمة والمعروفة جيدًا ، وأنه إذا كان الموقع يسمح للمستخدم "أ"بإرسال المحتوى الذي يشاهده المستخدم "ب"، فيجب ترميزه بشكل صحيح. تحدث مشكلة عدم الحصانة هذه عندما يتم إرسال المحتوى وعرضه بدقة من قبل المستخدم أ. نظرًا لصعوبة تشفير الإخراج بشكل صحيح في جميع المواقف ، لا تقلق العديد من المواقع بشأن تشفير البيانات التي تظهر فقط للمستخدم الذي أرسل البيانات في طلبه بسبب الافتراض الخاطئ بأن هذا لا يشكل تهديدا أمنيا هل هذا يؤثر على موقع الويب الخاص بي؟ هذه مشكلة أمنية خطيرة ، لها آثار محتملة بدأ فهمها للتو. ومع ذلك ، فمن الأهمية بمكان إدراك أن هذه المشكلة لا تعرض أي طريقة لاقتحام الخادم نفسه. ما يسمح به هو أن يتحكم المهاجمون الضارون في التفاعل بين المستخدم وموقع الويب. إذا كان موقع الويب الخاص بك يحتوي على محتوى ثابت تمامًا مع إمكانية الوصول إلى جميع المعلومات ، يمكن للمهاجم أن يكسب القليل جدًا من تولي هذا التفاعل. من المحتمل أن يكون أخطر شيء يمكن للمهاجم فعله في هذه الحالة هو تغيير طريقة ظهور الصفحة لمستخدم معين المواقع التي يشكل فيها هذا أكبر خطر محتمل هي المواقع التي يمتلك المستخدمون فيها نوعًا من الحساب أو تسجيل الدخول وحيث يمكنهم تنفيذ إجراءات لها آثار في العالم الحقيقي أو الوصول إلى البيانات التي لا ينبغي أن تكون متاحة. تشكل هذه المشكلة الأمنية تهديدًا خطيرًا لهذه المواقع ؛ ليس من الضروري اقتحام الخادم للتحكم في موقع ما إذا كان بإمكانك بدلاً من ذلك الوصول إلى نهاية الأشياء الخاصة بالمستخدم حسنًا ، أين المعلومات المتعلقة بأباتشي؟ Ã Â ¢ Ã Â Ã Â Apache 1.3.12 ، والذي يوفر بعض الحماية ضد حالات معينة من هذه المشكلة Ã Â ¢ Ã Â Ã Â تصحيح Apache الأقدم مقابل 1.3.11 الذي عالج المشكلات المعروفة في هذا الإصدار من Apache Ã Â ¢ Ã Â Ã Â ¢ صفحة أمثلة على الترميز ، تصف كيفية ترميز مخرجاتك بشكل صحيح للحماية من هذه المشكلة باستخدام التقنيات الشائعة ذات الصلة بـ Apache ، مثل وحدات Apache و Perl و PHP لا نتوقع أن تكون هذه هي الكلمة الأخيرة في طرق استغلال هذه المشكلة. من المحتمل أن يكون هناك المزيد من التغييرات على Apache في المستقبل لمساعدة المستخدمين على التعامل مع هذه المشكلة ، حتى لو لم يتم العثور على المزيد من الأخطاء في Apache نفسها. على الرغم من أننا نقدم معظم المعلومات الضرورية للمواقع لحماية نفسها من هذا النوع من الهجمات ، لا يزال هناك العديد من المشكلات المفتوحة المرتبطة بهذه المشكلة نحن ندرك أن هذه مشكلة معقدة ونتوقع تحديث هذه الصفحات لوصف المشكلات والإصلاحات بمزيد من التعمق كلما سمح الوقت بذلك لماذا اسم "Cross Site Scripting"؟ هذه المشكلة لا تتعلق فقط بالبرمجة النصية ، وليس هناك بالضرورة أي شيء متقاطع حولها. فلماذا الاسم؟ تمت صياغته في وقت سابق عندما كانت المشكلة أقل فهمًا ، وظلت عالقة. صدقني ، كان لدينا أشياء أكثر أهمية للقيام بها من التفكير في اسم أفضل. يمكنك إرسال أي تعليقات أو اقتراحات حول هذه المجموعة من الصفحات إلى [email protected]. لاحظ أنه لا يمكنني الرد على الأسئلة أو طلبات المساعدة ، لذا إذا كان هذا هو ما أنت على وشك إرساله ، فيرجى توفير الجهد على نفسك.