Cette page contient des informations sur le problème de sécurité du Cross Site Scripting, son impact sur Apache lui-même et la manière de s'en protéger correctement lors de l'utilisation de technologies liées à Apache.

Pour un aperçu du problème, veuillez consulter l'avis CERT CA-2000-02 qui a été publié à ce sujet. Vous devriez également consulter leur document de conseils techniques Comprendre l'atténuation des contenus malveillants pour les développeurs Web. L'avis CERT contient également des liens vers un certain nombre de documents publiés par Microsoft sur le problème, qui méritent également d'être examinés si ce problème vous concerne. Les informations contenues dans ces documents ne seront pas répétées ici ; ces informations supposent que vous avez lu ces documents et que vous êtes familiarisé avec le problème

Nous tenons à souligner qu'il ne s'agit pas d'une attaque contre un bogue spécifique dans un logiciel spécifique. Ce n'est pas un problème Apache. Ce n'est pas un problème Microsoft. Ce n'est pas un problème Netscape. En fait, ce n'est même pas un problème qui peut être clairement défini comme étant un problème de serveur ou un problème de client. Il s'agit d'un problème véritablement multiplateforme et qui résulte d'interactions imprévues et inattendues entre divers composants d'un ensemble de systèmes complexes interconnectés.

Il existe des bogues spécifiques dans une large gamme de produits de serveur Web, y compris Apache, qui permettent ou contribuent à l'exploitation de ce problème de sécurité. Ces bogues ne devraient pas être là et doivent être corrigés. Mais il est essentiel de réaliser qu'il ne s'agit que d'une infime partie du problème total. Le problème le plus grave réside dans tout le code spécifique au site qui génère du contenu dynamique. Nous vous apportons ces informations pour vous informer sur les problèmes qui ont été découverts dans Apache qui sont liés à ce problème de sécurité mais, plus important encore, pour vous aider à comprendre comment cela peut affecter votre propre code local développé à l'aide des technologies liées à Apache et comment vous peut le réparer

Il n'y a pas de correctif "golden bullet"que les fournisseurs de serveurs ou de clients peuvent publier qui résoudra ce problème comme par magie sur tous les serveurs Web ou clients utilisant ce produit


Nous tenons également à souligner qu'il est important de comprendre qu'il ne s'agit pas de l'ancien problème bien connu, à savoir que si un site permet à l'utilisateur A de soumettre du contenu qui est vu par l'utilisateur B, il doit être correctement encodé. Cette vulnérabilité survient lorsque le contenu est à la fois soumis et visualisé strictement par l'utilisateur A. En raison de la difficulté d'encoder correctement la sortie dans toutes les situations, de nombreux sites ne se soucient pas de l'encodage des données qui ne sont présentées qu'à l'utilisateur qui a envoyé les données dans leur demande. en raison de l'hypothèse erronée selon laquelle cela ne constitue pas une menace pour la sécurité

Cela a-t-il un impact sur mon site Web ?

Il s'agit d'un grave problème de sécurité, avec des implications potentielles qui commencent seulement à être comprises. Cependant, il est essentiel de réaliser que ce problème n'expose aucun moyen de s'introduire dans le serveur lui-même. Cela permet aux attaquants malveillants de prendre potentiellement le contrôle de l'interaction entre un utilisateur et un site Web. Si votre site Web contient un contenu entièrement statique avec toutes les informations accessibles, un attaquant ne gagnera que très peu à prendre le contrôle de cette interaction. Il est probable que la chose la plus sérieuse qu'un attaquant puisse potentiellement faire dans cette situation est de changer la façon dont une page apparaît à un utilisateur particulier

Les sites où cela pose le danger le plus potentiel sont les sites où les utilisateurs ont un certain type de compte ou de connexion et où ils peuvent effectuer des actions avec des implications réelles ou accéder à des données qui ne devraient pas être disponibles. Ce problème de sécurité constitue une menace sérieuse pour ces sites ; il n'est pas nécessaire d'entrer par effraction dans le serveur pour prendre le contrôle d'un site si, à la place, vous pouvez accéder du côté de l'utilisateur

Ok, où sont les informations relatives à Apache ?
âÃÂâ Apache 1.3.12, qui fournit une certaine protection contre certains cas de ce problème

âÃÂâ Correctif Apache plus ancien contre 1.3.11 qui résolvait les problèmes connus dans cette version d'Apache

âÃÂâ page d'exemples d'encodage, décrivant comment encoder correctement votre sortie pour vous protéger contre ce problème à l'aide de technologies communes liées à Apache, telles que les modules Apache, Perl et PHP

Nous ne nous attendons pas à ce que ce soit le dernier mot sur les méthodes d'exploitation de ce problème. Il est probable que d'autres modifications seront apportées à Apache à l'avenir pour aider les utilisateurs à résoudre ce problème, même si aucun autre bogue n'est trouvé dans Apache lui-même. Bien que nous fournissions la plupart des informations nécessaires aux sites pour se protéger contre ce type d'attaque, il existe encore de nombreux problèmes ouverts associés à ce problème.

Nous sommes conscients qu'il s'agit d'un problème complexe et nous prévoyons de mettre à jour ces pages pour décrire les problèmes et les correctifs plus en détail si le temps le permet.

Pourquoi le nom "Cross Site Scripting"?

Ce problème ne concerne pas seulement les scripts, et il n'y a pas nécessairement de lien entre sites à ce sujet. Alors pourquoi le nom ? Il a été inventé plus tôt lorsque le problème était moins bien compris, et il est resté. Croyez-moi, nous avons eu des choses plus importantes à faire que de penser à un meilleur nom.


Vous pouvez envoyer vos commentaires ou suggestions concernant cet ensemble de pages à [email protected]. Notez que je ne peux pas répondre aux questions ou aux demandes d'assistance, donc si c'est ce que vous êtes sur le point d'envoyer, veuillez vous épargner l'effort.