クロスサイトスクリプティング情報

このページには、クロスサイトスクリプティングのセキュリティ問題、それが Apache 自体に与える影響、および Apache 関連技術を使用する際に適切に保護する方法に関する情報が含まれています。この問題の概要については、この問題に関してリリースされた CERT Advisory CA-2000-02 を参照してください。また、関連する Web 開発者向けの悪意のあるコンテンツの緩和についてのテクニカルヒントドキュメントも確認する必要があります。 CERT アドバイザリには、Microsoft がこの問題について公開した多数のドキュメントへのリンクも含まれており、この問題が影響する場合は確認する価値があります。これらのドキュメントに含まれる情報は、ここでは繰り返されません。この情報は、これらのドキュメントを読み、問題に精通していることを前提としていますこれは、特定のソフトウェアの特定のバグに対する攻撃ではないことを強調したいと思います。これは Apache の問題ではありません。これは Microsoft の問題ではありません。これは Netscape の問題ではありません。実際、サーバーの問題かクライアントの問題かを明確に定義できる問題でさえありません。これは真にクロスプラットフォームの問題であり、相互接続された一連の複雑なシステムのさまざまなコンポーネント間の予期せぬ予期しない相互作用の結果です。 Apache を含む幅広い Web サーバー製品には、このセキュリティ問題の悪用を可能にする、または悪用に寄与する特定のバグがあります。これらのバグはあってはならず、修正する必要があります。しかし、これは問題全体のごく一部にすぎないことを認識することが重要です。最も深刻な問題は、動的コンテンツを生成するすべてのサイト固有のコードにあります。この情報は、このセキュリティ問題に関連する Apache で発見された問題について説明するために提供していますが、さらに重要なことは、これが Apache 関連のテクノロジを使用して開発された独自のローカルコードにどのような影響を与える可能性があるか、また、それを修正できますその製品を使用するすべての Web サーバーまたはクライアントでこの問題を魔法のように修正する、サーバーまたはクライアントのベンダーがリリースできる「黄金の弾丸」パッチはありません。また、これは古いよく知られている問題ではないことを理解することが重要であることを指摘したいと思います。サイトがユーザー A がユーザー B によって表示されるコンテンツを送信できるようにする場合、適切にエンコードする必要があります。この脆弱性は、コンテンツが厳密にユーザー A によって送信および表示される場合に発生します。すべての状況で出力を適切にエンコードすることは難しいため、多くのサイトでは、リクエストでデータを送信したユーザーにのみ表示されるデータのエンコードについて心配していません。これはセキュリティ上の脅威をもたらさないという誤った仮定によるものですこれは私の Web サイトに影響しますか? これは深刻なセキュリティ問題であり、潜在的な影響が理解され始めたばかりです。ただし、この問題によってサーバー自体に侵入する方法が明らかになるわけではないことを認識することが重要です。これにより、悪意のある攻撃者がユーザーと Web サイト間のやり取りを制御できるようになる可能性があります。 Web サイトにすべての情報がアクセス可能な完全に静的なコンテンツが含まれている場合、攻撃者はこのやり取りを乗っ取ってほとんど利益を得ることができません。この状況で攻撃者が実行できる可能性のある最も深刻なことは、特定のユーザーに対するページの表示方法を変更することです。これが最も潜在的な危険をもたらすサイトは、ユーザーが何らかの種類のアカウントまたはログインを持っていて、現実世界に影響を与えるアクションを実行したり、利用できないはずのデータにアクセスしたりできるサイトです。このセキュリティ上の問題は、そのようなサイトに深刻な脅威をもたらします。サイトを制御するためにサーバーに侵入する必要はありません。代わりに、ユーザー側でアクセスできる場合わかりました、Apache 関連の情報はどこにありますか? この問題の特定のインスタンスに対する保護を提供する Apache 1.3.12 そのバージョンの Apache の既知の問題に対処する、1.3.11 に対する古い Apache パッチ ãâ¢ãâãâ¢ Encoding Examples ページでは、Apache モジュール、Perl、PHP などの一般的な Apache 関連技術を使用して、この問題から保護するために出力を適切にエンコードする方法を説明しています。これが、この問題を悪用する方法に関する最後の言葉になるとは考えていません。 Apache 自体にこれ以上バグが見つからなくても、ユーザーがこの問題に対処できるように、今後 Apache にさらに変更が加えられる可能性があります。サイトがこの種の攻撃から身を守るために必要な情報のほとんどを提供していますが、この問題に関連する未解決の問題がまだたくさんあります。これは複雑な問題であることを認識しており、時間が許す限りこれらのページを更新して、問題と修正についてより詳細に説明する予定です。「クロスサイトスクリプティング」という名前の理由この問題はスクリプティングだけの問題ではなく、必ずしもクロスサイトの問題ではありません。では、なぜ名前を？問題があまり理解されていなかった頃に造語され、行き詰まりました。私を信じてください、私たちはより良い名前を考えるよりももっと重要なことをしなければなりませんでした. この一連のページに関するコメントや提案は、[email protected] までお送りください。質問やサポートのリクエストにはお答えできませんのでご了承ください。