Cross Site Scripting Info

Kaca iki ngemot informasi babagan masalah keamanan Cross Site Scripting, kepiye pengaruhe marang Apache dhewe, lan cara nglindhungi kanthi bener nalika nggunakake teknologi sing ana gandhengane karo Apache.

Kanggo ringkesan masalah kasebut, deleng CERT Advisory CA-2000-02 sing wis dirilis babagan masalah kasebut. Sampeyan uga kudu mriksa sing gegandhengan Understanding Mitigasi Konten Malicious For Web Developers tips tech document. Advisory CERT uga ngemot pranala menyang sawetara dokumen sing disedhiyakake Microsoft babagan masalah kasebut sing uga kudu dideleng yen masalah iki nyebabake sampeyan. Informasi sing ana ing dokumen kasebut ora bakal diulang ing kene; informasi iki nganggep sampeyan wis maca dokumen iki lan menowo masalah

Kita pengin nandheske manawa iki dudu serangan marang bug tartamtu ing piranti lunak tartamtu. Iku dudu masalah Apache. Iku ora masalah Microsoft. Iku ora masalah Netscape. Nyatane, iki dudu masalah sing bisa ditetepake kanthi jelas minangka masalah server utawa masalah klien. Iki minangka masalah sing bener-bener lintas platform lan minangka akibat saka interaksi sing ora dikarepake lan ora dikarepke ing antarane macem-macem komponen saka sistem kompleks sing saling nyambungake.

Ana bug tartamtu ing macem-macem produk server web, kalebu Apache, sing ngidini utawa nyumbang kanggo eksploitasi masalah keamanan iki. Kewan omo kudu ora ana lan kudu didandani. Nanging penting kanggo mangerteni yen iki mung bagean cilik saka total masalah. Masalah sing paling serius ana ing kabeh kode spesifik situs sing ngasilake konten dinamis. Kita nggawa sampeyan informasi iki kanggo ngajari sampeyan babagan masalah sing ditemokake ing Apache sing ana hubungane karo masalah keamanan iki, nanging sing luwih penting, mbantu sampeyan sinau babagan carane iki bisa nyebabake kode lokal sampeyan dhewe sing dikembangake nggunakake teknologi sing gegandhengan karo Apache lan carane sampeyan bisa ndandani

Ora ana patch "peluru emas"sing bisa diluncurake server utawa vendor klien sing bakal ngatasi masalah iki ing kabeh server web utawa klien sing nggunakake produk kasebut.


Kita uga pengin nuduhake manawa penting kanggo ngerti manawa iki dudu masalah sing lawas lan kondhang, yen situs ngidini pangguna A ngirim konten sing dideleng pangguna B, mula kudu dikodekake kanthi bener. Kerentanan iki yaiku nalika isi kasebut dikirim lan dideleng kanthi ketat dening pangguna A. Amarga angel ngodhe output kanthi bener ing kabeh kahanan, akeh situs ora kuwatir babagan enkoding data sing mung dituduhake menyang pangguna sing ngirim data ing panyuwunan. amarga asumsi sing salah yen iki ora nyebabake ancaman keamanan

Apa iki mengaruhi situs webku?

Iki minangka masalah keamanan sing serius, kanthi implikasi potensial sing mung diwiwiti dimangerteni. Nanging, iku kritis kanggo éling sing masalah iki ora mbukak sembarang cara kanggo break menyang server dhewe. Sing ngidini panyerang angkoro duweni potensi ngontrol interaksi antarane pangguna lan situs web. Yen situs web sampeyan ngemot konten statis kanthi kabeh informasi bisa diakses, panyerang bisa entuk sethithik banget saka njupuk interaksi iki. Kemungkinan sing paling serius sing bisa ditindakake panyerang ing kahanan iki yaiku ngganti tampilan kaca menyang pangguna tartamtu.

Situs sing nyebabake bebaya paling potensial yaiku situs sing pangguna duwe sawetara jinis akun utawa login lan ing ngendi dheweke bisa nindakake tumindak kanthi implikasi ing donya nyata utawa ngakses data sing ora kasedhiya. Masalah keamanan iki nyebabake ancaman serius kanggo situs kasebut; ora perlu mlebu server kanggo ngontrol situs yen sampeyan bisa entuk akses menyang pangguna pungkasan.

Ok, ngendi informasi sing gegandhengan karo Apache?
âÃÂâ Apache 1.3.12, sing menehi sawetara pangayoman marang kasus tartamtu saka masalah iki

âÃÂâ Patch Apache lawas nglawan 1.3.11 sing ngatasi masalah sing dikenal ing versi Apache kasebut

âÃÂâ Kaca Conto Encoding, njlèntrèhaké cara ngodhe output kanthi bener kanggo nglindhungi masalah iki kanthi nggunakake teknologi sing gegandhengan karo Apache, kayata modul Apache, Perl, lan PHP

Kita ora ngarepake iki minangka tembung pungkasan babagan cara ngeksploitasi masalah iki. Kemungkinan bakal ana owah-owahan liyane ing Apache ing mangsa ngarep kanggo mbantu pangguna ngatasi masalah iki, sanajan ora ana bug liyane sing ditemokake ing Apache dhewe. Sanajan kita nyedhiyakake paling akeh informasi sing dibutuhake kanggo situs kanggo nglindhungi awake dhewe saka serangan jinis iki, isih ana akeh masalah mbukak sing ana gandhengane karo masalah iki.

Kita nyadari manawa iki minangka masalah sing rumit lan ngarepake nganyari kaca kasebut kanggo njlèntrèhaké masalah lan ndandani kanthi luwih jero kaya sing diidini wektu.

Napa jeneng "Cross Site Scripting"?

Jeksa Agung bisa ngetokake iki ora mung bab scripting, lan ana ora kudu soko salib situs bab iku. Dadi kenapa jenenge? Iki diciptakake sadurunge nalika masalah kasebut kurang dimangerteni, lan macet. Pracayaa, kita duwe prekara sing luwih penting tinimbang mikirake jeneng sing luwih apik.


Sampeyan bisa ngirim komentar utawa saran babagan set kaca iki menyang [email protected]. Elinga yen aku ora bisa nanggapi pitakonan utawa panjalukan kanggo pitulungan, supaya yen sampeyan arep ngirim, mangga nyimpen dhewe gaweyan.