Questa pagina contiene informazioni sul problema di sicurezza Cross Site Scripting, su come influisce su Apache stesso e su come proteggersi adeguatamente quando si utilizzano tecnologie correlate ad Apache

Per una panoramica del problema, consultare l'avviso CERT CA-2000-02 che è stato rilasciato sul problema. Dovresti anche consultare il relativo documento di suggerimenti tecnici sulla mitigazione dei contenuti dannosi per gli sviluppatori Web. L'avviso CERT contiene anche collegamenti a una serie di documenti che Microsoft ha pubblicato sul problema che vale la pena esaminare anche se questo problema ti riguarda. Le informazioni contenute in questi documenti non saranno ripetute qui; queste informazioni presuppongono che tu abbia letto questi documenti e che tu abbia familiarità con il problema

Vorremmo sottolineare che questo non è un attacco contro un bug specifico in un software specifico. Non è un problema di Apache. Non è un problema di Microsoft. Non è un problema di Netscape. In effetti, non è nemmeno un problema che può essere chiaramente definito come un problema del server o un problema del client. Si tratta di una questione realmente cross platform ed è il risultato di interazioni impreviste e inaspettate tra vari componenti di un insieme di sistemi complessi interconnessi

Esistono bug specifici in un'ampia gamma di prodotti per server Web, incluso Apache, che consentono o contribuiscono allo sfruttamento di questo problema di sicurezza. Questi bug non dovrebbero esserci e devono essere corretti. Ma è fondamentale rendersi conto che questa è solo una piccola parte del problema totale. Il problema più serio è in tutto il codice specifico del sito che genera contenuti dinamici. Ti forniamo queste informazioni per istruirti sui problemi che sono stati scoperti in Apache che sono correlati a questo problema di sicurezza ma, cosa più importante, ti aiutiamo a istruirti su come ciò potrebbe influire sul tuo codice locale sviluppato utilizzando le tecnologie relative ad Apache e su come tu può aggiustarlo

Non esiste una patch "proiettile d'oro"che i fornitori di server o client possono rilasciare per risolvere magicamente questo problema su tutti i server Web o client che utilizzano quel prodotto


Vorremmo anche sottolineare che è importante capire che questo non è il vecchio problema ben noto, che se un sito consente all'utente A di inviare contenuti che vengono visualizzati dall'utente B, deve essere codificato correttamente. Questa vulnerabilità si verifica quando il contenuto viene inviato e visualizzato rigorosamente dall'utente A. A causa della difficoltà di codificare correttamente l'output in tutte le situazioni, molti siti non si preoccupano di codificare i dati che vengono mostrati solo all'utente che ha inviato i dati nella loro richiesta a causa dell'errato presupposto che ciò non rappresenti una minaccia per la sicurezza

Questo ha un impatto sul mio sito web?

Si tratta di un serio problema di sicurezza, con potenziali implicazioni che si stanno solo iniziando a comprendere. Tuttavia, è fondamentale rendersi conto che questo problema non espone alcun modo per entrare nel server stesso. Ciò che consente agli aggressori malintenzionati di assumere potenzialmente il controllo dell'interazione tra un utente e un sito Web. Se il tuo sito Web contiene contenuti interamente statici con tutte le informazioni accessibili, un utente malintenzionato può ottenere ben poco dall'acquisizione di questa interazione. È probabile che la cosa più seria che un utente malintenzionato possa potenzialmente fare in questa situazione sia cambiare il modo in cui una pagina appare a un particolare utente

I siti in cui ciò rappresenta il maggior pericolo potenziale sono i siti in cui gli utenti dispongono di un qualche tipo di account o accesso e dove possono eseguire azioni con implicazioni nel mondo reale o accedere a dati che non dovrebbero essere disponibili. Questo problema di sicurezza rappresenta una seria minaccia per tali siti; non è necessario entrare nel server per prendere il controllo di un sito se invece puoi ottenere l'accesso dalla parte dell'utente

Ok, dove sono le informazioni relative ad Apache?
âÃÂâ Apache 1.3.12, che fornisce una certa protezione contro alcuni casi di questo problema

âÃÂâ Patch di Apache precedente rispetto alla 1.3.11 che risolveva i problemi noti in quella versione di Apache

âÃÂâ Pagina degli esempi di codifica, che descrive come codificare correttamente l'output per proteggersi da questo problema utilizzando le comuni tecnologie relative ad Apache, come i moduli Apache, Perl e PHP

Non ci aspettiamo che questa sia l'ultima parola sui metodi per sfruttare questo problema. È probabile che in futuro verranno apportate ulteriori modifiche ad Apache per aiutare gli utenti a gestire questo problema, anche se non vengono più rilevati bug in Apache stesso. Sebbene forniamo la maggior parte delle informazioni necessarie ai siti per proteggersi da questo tipo di attacco, ci sono ancora molti problemi aperti associati a questo problema

Ci rendiamo conto che si tratta di un problema complesso e prevediamo di aggiornare queste pagine per descrivere i problemi e le correzioni in modo più approfondito man mano che il tempo lo consente

Perché il nome "Cross Site Scripting"?

Questo problema non riguarda solo lo scripting e non c'è necessariamente nulla di cross site al riguardo. Allora perché il nome? È stato coniato in precedenza quando il problema era meno compreso e si è bloccato. Credimi, abbiamo avuto cose più importanti da fare che pensare a un nome migliore.


Puoi inviare qualsiasi commento o suggerimento su questo insieme di pagine a [email protected]. Tieni presente che non posso rispondere a domande o richieste di assistenza, quindi se è quello che stai per inviare, ti preghiamo di risparmiarti lo sforzo.