इस पृष्ठ में क्रॉस साइट स्क्रिप्टिंग सुरक्षा समस्या के बारे में जानकारी है, यह अपाचे को कैसे प्रभावित करता है, और अपाचे से संबंधित तकनीकों का उपयोग करते समय इसके विरुद्ध उचित सुरक्षा कैसे करें
इस मुद्दे के अवलोकन के लिए, कृपया सीईआरटी सलाहकार सीए-2000-02 देखें जो इस मुद्दे पर जारी किया गया है। आपको उनके संबंधित अंडरस्टैंडिंग मलिशियस कंटेंट मिटिगेशन फॉर वेब डेवलपर्स टेक टिप्स डॉक्यूमेंट की भी समीक्षा करनी चाहिए। सीईआरटी सलाहकार में ऐसे कई दस्तावेज़ों के लिंक भी शामिल हैं जिन्हें माइक्रोसॉफ्ट ने इस मुद्दे पर रखा है और यदि यह समस्या आपको प्रभावित करती है तो यह भी समीक्षा के लायक है। इन दस्तावेज़ों में निहित जानकारी यहाँ दोहराई नहीं जाएगी; यह जानकारी मानती है कि आपने इन दस्तावेज़ों को पढ़ लिया है और इस मुद्दे से परिचित हैं
हम इस बात पर जोर देना चाहते हैं कि यह सॉफ्टवेयर के किसी विशिष्ट भाग में किसी विशिष्ट बग के खिलाफ हमला नहीं है। यह अपाचे की समस्या नहीं है। यह Microsoft की समस्या नहीं है। यह नेटस्केप समस्या नहीं है। वास्तव में, यह ऐसी समस्या भी नहीं है जिसे सर्वर समस्या या ग्राहक समस्या के रूप में स्पष्ट रूप से परिभाषित किया जा सकता है। यह एक ऐसा मुद्दा है जो वास्तव में क्रॉस प्लेटफॉर्म है और इंटरकनेक्टेड कॉम्प्लेक्स सिस्टम के सेट के विभिन्न घटकों के बीच अप्रत्याशित और अप्रत्याशित बातचीत का परिणाम है।
अपाचे समेत वेब सर्वर उत्पादों की एक विस्तृत श्रृंखला में विशिष्ट बग हैं, जो इस सुरक्षा समस्या के शोषण के लिए अनुमति देते हैं या योगदान देते हैं। ये बग नहीं होने चाहिए और इन्हें ठीक करने की जरूरत है। लेकिन यह महसूस करना महत्वपूर्ण है कि यह पूरे मुद्दे का एक छोटा सा हिस्सा है। गतिशील सामग्री उत्पन्न करने वाले सभी साइट विशिष्ट कोड में सबसे गंभीर समस्या है। हम आपको यह जानकारी आपको उन मुद्दों पर शिक्षित करने के लिए ला रहे हैं जो अपाचे में खोजे गए हैं जो इस सुरक्षा समस्या से संबंधित हैं, लेकिन इससे भी महत्वपूर्ण बात यह है कि यह आपको शिक्षित करने में मदद करता है कि यह अपाचे से संबंधित तकनीकों का उपयोग करके विकसित आपके अपने स्थानीय कोड को कैसे प्रभावित कर सकता है और आप कैसे इसे ठीक कर सकते हैं
कोई "गोल्डन बुलेट"पैच नहीं है जिसे सर्वर या क्लाइंट विक्रेता जारी कर सकते हैं जो उस उत्पाद का उपयोग करने वाले सभी वेब सर्वर या क्लाइंट में इस समस्या को जादुई रूप से ठीक कर देगा
हम यह भी बताना चाहेंगे कि यह समझना महत्वपूर्ण है कि यह पुराना, प्रसिद्ध मुद्दा नहीं है, कि यदि कोई साइट उपयोगकर्ता A को उपयोगकर्ता B द्वारा देखी गई सामग्री सबमिट करने की अनुमति देती है, तो इसे ठीक से एन्कोड किया जाना चाहिए। यह भेद्यता तब होती है जब सामग्री को उपयोगकर्ता A द्वारा सख्ती से प्रस्तुत और देखा जाता है। सभी स्थितियों में आउटपुट को ठीक से एन्कोडिंग करने की कठिनाई के कारण, कई साइटें डेटा को एन्कोडिंग करने के बारे में चिंता नहीं करती हैं जो केवल उस उपयोगकर्ता को दिखाया जाता है जिसने उनके अनुरोध में डेटा भेजा था। गलत धारणा के कारण कि इससे सुरक्षा को कोई खतरा नहीं है
क्या यह मेरी वेब साइट को प्रभावित करता है?
यह एक गंभीर सुरक्षा मुद्दा है, जिसके संभावित निहितार्थ अभी समझे जा रहे हैं। हालांकि, यह महसूस करना महत्वपूर्ण है कि यह समस्या सर्वर में सेंध लगाने के किसी भी तरीके को उजागर नहीं करती है। यह दुर्भावनापूर्ण हमलावरों को उपयोगकर्ता और वेबसाइट के बीच बातचीत को संभावित रूप से नियंत्रित करने की अनुमति देता है। यदि आपकी वेबसाइट में पूरी तरह से स्थिर सामग्री है जिसमें सभी जानकारी उपलब्ध है, तो एक हमलावर इस इंटरैक्शन को लेने से बहुत कम लाभ प्राप्त कर सकता है। यह संभावना है कि इस स्थिति में एक हमलावर संभावित रूप से जो सबसे गंभीर काम कर सकता है, वह यह है कि किसी विशेष उपयोगकर्ता को पृष्ठ कैसा दिखाई देता है
जिन साइटों पर यह सबसे अधिक संभावित खतरा पैदा करता है, वे साइटें हैं जहां उपयोगकर्ताओं के पास किसी प्रकार का खाता या लॉगिन होता है और जहां वे वास्तविक दुनिया के निहितार्थों के साथ कार्य कर सकते हैं या डेटा तक पहुंच सकते हैं जो उपलब्ध नहीं होना चाहिए। यह सुरक्षा समस्या ऐसी साइटों के लिए एक गंभीर खतरा है; किसी साइट का नियंत्रण लेने के लिए सर्वर में सेंध लगाना आवश्यक नहीं है यदि इसके बजाय आप उपयोगकर्ता के अंत तक पहुँच प्राप्त कर सकते हैं
ठीक है, अपाचे से संबंधित जानकारी कहाँ है?
à एक  ¢   ¢ अपाचे 1.3.12, जो इस समस्या के कुछ उदाहरणों के खिलाफ कुछ सुरक्षा प्रदान करता है
à एक  ¢   ¢ 1.3.11 के विरुद्ध पुराना अपाचे पैच जिसने अपाचे के उस संस्करण में ज्ञात मुद्दों को संबोधित किया
à        ¢ Encoding उदाहरण पृष्ठ, यह बताते हुए कि आम Apache संबंधित प्रौद्योगिकियों, जैसे कि Apache मॉड्यूल, पर्ल और PHP का उपयोग करके इस समस्या से बचाने के लिए अपने आउटपुट को कैसे ठीक से एन्कोड करें
हमें उम्मीद नहीं है कि यह इस समस्या के दोहन के तरीकों पर अंतिम शब्द होगा। यह संभावना है कि भविष्य में अपाचे में और अधिक बदलाव होंगे ताकि उपयोगकर्ताओं को इस समस्या से निपटने में मदद मिल सके, भले ही अपाचे में कोई और बग न मिले। हालांकि हम साइटों को इस प्रकार के हमले से खुद को बचाने के लिए अधिकांश आवश्यक जानकारी प्रदान करते हैं, फिर भी इस मुद्दे से जुड़े कई खुले मुद्दे हैं
हम महसूस करते हैं कि यह एक जटिल समस्या है और समस्याओं का वर्णन करने के लिए इन पृष्ठों को अपडेट करने की अपेक्षा करते हैं और समय की अनुमति के रूप में और अधिक गहराई में सुधार करते हैं
"क्रॉस साइट स्क्रिप्टिंग"नाम क्यों?
यह मुद्दा केवल स्क्रिप्टिंग के बारे में नहीं है, और इसके बारे में क्रॉस साइट के बारे में कुछ भी जरूरी नहीं है। तो नाम क्यों? यह पहले गढ़ा गया था जब समस्या कम समझी गई थी, और यह अटक गई। मेरा विश्वास करो, हमारे पास बेहतर नाम के बारे में सोचने के अलावा और भी महत्वपूर्ण काम हैं।
आप पृष्ठों के इस सेट के बारे में कोई भी टिप्पणी या सुझाव [email protected] पर भेज सकते हैं। ध्यान दें कि मैं सवालों या सहायता के अनुरोधों का जवाब नहीं दे सकता, इसलिए यदि आप यही भेजने वाले हैं तो कृपया अपने आप को प्रयास से बचाएं।
साझा वेब होस्टिंग#74