Diese Seite enthält Informationen über das Sicherheitsproblem Cross Site Scripting, wie es sich auf Apache selbst auswirkt und wie man sich angemessen davor schützt, wenn man Apache-bezogene Technologien verwendet

Einen Überblick über das Problem finden Sie im CERT Advisory CA-2000-02, das zu diesem Problem veröffentlicht wurde. Sie sollten auch das zugehörige Dokument mit den technischen Tipps zur Abwehr bösartiger Inhalte für Webentwickler lesen. Die CERT-Empfehlung enthält auch Links zu einer Reihe von Dokumenten, die Microsoft zu diesem Problem veröffentlicht hat und die ebenfalls eine Überprüfung wert sind, wenn Sie von diesem Problem betroffen sind. Die in diesen Dokumenten enthaltenen Informationen werden hier nicht wiederholt; Diese Informationen setzen voraus, dass Sie diese Dokumente gelesen haben und mit dem Problem vertraut sind

Wir möchten betonen, dass dies kein Angriff auf einen bestimmten Fehler in einer bestimmten Software ist. Es ist kein Apache-Problem. Es ist kein Microsoft-Problem. Es ist kein Netscape-Problem. Tatsächlich ist es nicht einmal ein Problem, das klar als Server- oder Client-Problem definiert werden kann. Es ist ein Problem, das wirklich plattformübergreifend ist und das Ergebnis unvorhergesehener und unerwarteter Interaktionen zwischen verschiedenen Komponenten einer Reihe miteinander verbundener komplexer Systeme ist

Es gibt spezifische Fehler in einer Vielzahl von Webserver-Produkten, einschließlich Apache, die die Ausnutzung dieses Sicherheitsproblems ermöglichen oder dazu beitragen. Diese Fehler sollten nicht vorhanden sein und müssen behoben werden. Aber es ist wichtig zu erkennen, dass dies nur ein winziger Teil des Gesamtproblems ist. Das schwerwiegendste Problem besteht in dem gesamten standortspezifischen Code, der dynamische Inhalte generiert. Wir stellen Ihnen diese Informationen zur Verfügung, um Sie über die Probleme aufzuklären, die in Apache entdeckt wurden und mit diesem Sicherheitsproblem zusammenhängen, aber, was noch wichtiger ist, um Sie darüber aufzuklären, wie sich dies auf Ihren eigenen lokalen Code auswirken kann, der mit Apache-bezogenen Technologien entwickelt wurde, und wie Sie kann es beheben

Es gibt keinen "Golden Bullet"-Patch, den Server- oder Client-Anbieter veröffentlichen können, der dieses Problem auf magische Weise auf allen Webservern oder Clients, die dieses Produkt verwenden, behebt


Wir möchten auch darauf hinweisen, dass es wichtig ist zu verstehen, dass dies nicht das alte, bekannte Problem ist, dass, wenn eine Website Benutzer A erlaubt, Inhalte zu übermitteln, die von Benutzer B angezeigt werden, diese richtig codiert sein müssen. Diese Schwachstelle tritt auf, wenn der Inhalt ausschließlich von Benutzer A gesendet und angezeigt wird. Aufgrund der Schwierigkeit, die Ausgabe in allen Situationen richtig zu codieren, machen sich viele Websites keine Gedanken über die Codierung von Daten, die nur dem Benutzer angezeigt werden, der die Daten in seiner Anfrage gesendet hat aufgrund der irrigen Annahme, dass dies keine Sicherheitsbedrohung darstellt

Hat dies Auswirkungen auf meine Website?

Dies ist ein ernsthaftes Sicherheitsproblem mit potenziellen Auswirkungen, die erst allmählich verstanden werden. Es ist jedoch wichtig zu erkennen, dass dieses Problem keine Möglichkeit bietet, in den Server selbst einzudringen. Es ermöglicht böswilligen Angreifern, potenziell die Kontrolle über die Interaktion zwischen einem Benutzer und einer Website zu übernehmen. Wenn Ihre Website vollständig statische Inhalte enthält, bei denen alle Informationen zugänglich sind, kann ein Angreifer nur sehr wenig davon profitieren, diese Interaktion zu übernehmen. Es ist wahrscheinlich, dass das Größte, was ein Angreifer in dieser Situation möglicherweise tun kann, darin besteht, die Darstellung einer Seite für einen bestimmten Benutzer zu ändern

Die Websites, auf denen dies die größte potenzielle Gefahr darstellt, sind Websites, auf denen Benutzer über eine Art Konto oder Anmeldung verfügen und auf denen sie Aktionen mit Auswirkungen auf die reale Welt ausführen oder auf Daten zugreifen können, die nicht verfügbar sein sollten. Dieses Sicherheitsproblem stellt eine ernsthafte Bedrohung für solche Websites dar; Es ist nicht notwendig, in den Server einzubrechen, um die Kontrolle über eine Site zu übernehmen, wenn Sie stattdessen auf der Seite des Benutzers Zugriff erhalten können

Ok, wo sind die Apache-bezogenen Informationen?
• Apache 1.3.12, das einen gewissen Schutz gegen bestimmte Fälle dieses Problems bietet

Älterer Apache-Patch gegen 1.3.11, der die bekannten Probleme in dieser Version von Apache behebt

âÃÂâ Seite mit Codierungsbeispielen, die beschreibt, wie Sie Ihre Ausgabe richtig codieren, um sich vor diesem Problem zu schützen, indem Sie gängige Apache-bezogene Technologien wie Apache-Module, Perl und PHP verwenden

Wir erwarten nicht, dass dies das letzte Wort zu Methoden zur Ausnutzung dieses Problems ist. Es ist wahrscheinlich, dass es in Zukunft weitere Änderungen an Apache geben wird, um Benutzern bei der Bewältigung dieses Problems zu helfen, auch wenn in Apache selbst keine Fehler mehr gefunden werden. Obwohl wir die meisten notwendigen Informationen für Websites bereitstellen, um sich gegen diese Art von Angriffen zu schützen, gibt es noch viele offene Probleme im Zusammenhang mit diesem Problem

Wir sind uns bewusst, dass dies ein komplexes Problem ist, und erwarten, diese Seiten zu aktualisieren, um die Probleme und Korrekturen ausführlicher zu beschreiben, sobald es die Zeit erlaubt

Warum der Name „Cross Site Scripting“?

Bei diesem Thema geht es nicht nur um Scripting, und es gibt nicht unbedingt etwas Siteübergreifendes. Warum also der Name? Es wurde früher geprägt, als das Problem weniger verstanden wurde, und es blieb hängen. Glauben Sie mir, wir hatten Wichtigeres zu tun, als uns einen besseren Namen auszudenken.


Sie können Kommentare oder Vorschläge zu dieser Seitengruppe an [email protected] senden. Beachten Sie, dass ich nicht auf Fragen oder Hilfeersuchen antworten kann. Wenn Sie dies also senden möchten, ersparen Sie sich bitte die Mühe.