Halaman ini mengandungi maklumat tentang isu keselamatan Skrip Silang Tapak, cara ia memberi kesan kepada Apache sendiri dan cara melindunginya dengan betul apabila menggunakan teknologi berkaitan Apache

Untuk mendapatkan gambaran keseluruhan isu, sila lihat CERT Advisory CA-2000-02 yang telah dikeluarkan mengenai isu tersebut. Anda juga harus menyemak dokumen petua teknologi Memahami Pengurangan Kandungan Hasad Untuk Pembangun Web yang berkaitan. Nasihat CERT juga mengandungi pautan kepada beberapa dokumen yang telah dikeluarkan oleh Microsoft mengenai isu tersebut yang juga patut disemak jika isu ini memberi kesan kepada anda. Maklumat yang terkandung dalam dokumen ini tidak akan diulang di sini; maklumat ini menganggap anda telah membaca dokumen ini dan sudah biasa dengan isu tersebut

Kami ingin menekankan bahawa ini bukan serangan terhadap mana-mana pepijat tertentu dalam perisian tertentu. Ia bukan masalah Apache. Ia bukan masalah Microsoft. Ia bukan masalah Netscape. Malah, ia bukan masalah yang boleh ditakrifkan dengan jelas sebagai masalah pelayan atau masalah pelanggan. Ia adalah isu yang benar-benar merentas platform dan merupakan hasil daripada interaksi yang tidak dijangka dan tidak dijangka antara pelbagai komponen satu set sistem kompleks yang saling berkaitan

Terdapat pepijat khusus dalam rangkaian luas produk pelayan web, termasuk Apache, yang membenarkan atau menyumbang kepada eksploitasi masalah keselamatan ini. Pepijat ini tidak sepatutnya ada dan perlu diperbaiki. Tetapi adalah penting untuk menyedari bahawa ini hanyalah sebahagian kecil daripada keseluruhan isu. Isu yang paling serius adalah dalam semua kod khusus tapak yang menjana kandungan dinamik. Kami membawakan maklumat ini kepada anda untuk mendidik anda tentang isu yang telah ditemui dalam Apache yang berkaitan dengan masalah keselamatan ini tetapi, yang lebih penting, membantu mendidik anda tentang cara ini boleh memberi kesan kepada kod tempatan anda sendiri yang dibangunkan menggunakan teknologi berkaitan Apache dan cara anda boleh membetulkannya

Tiada tampalan "peluru emas"yang boleh dikeluarkan oleh pelayan atau vendor pelanggan yang akan membetulkan isu ini secara ajaib merentas semua pelayan web atau pelanggan yang menggunakan produk tersebut


Kami juga ingin menegaskan bahawa adalah penting untuk memahami bahawa ini bukan isu lama yang terkenal, bahawa jika tapak membenarkan pengguna A menyerahkan kandungan yang dilihat oleh pengguna B, ia perlu dikodkan dengan betul. Kerentanan ini adalah apabila kandungan diserahkan dan dilihat secara ketat oleh pengguna A. Disebabkan kesukaran mengekod output dengan betul dalam semua situasi, banyak tapak tidak bimbang tentang pengekodan data yang hanya ditunjukkan kepada pengguna yang menghantar data dalam permintaan mereka disebabkan oleh andaian yang salah bahawa ini tidak menimbulkan ancaman keselamatan

Adakah ini memberi kesan kepada tapak web saya?

Ini adalah isu keselamatan yang serius, dengan potensi implikasi yang baru mula difahami. Walau bagaimanapun, adalah penting untuk menyedari bahawa masalah ini tidak mendedahkan sebarang cara untuk memecah masuk ke pelayan itu sendiri. Perkara yang dibenarkan adalah untuk penyerang berniat jahat berpotensi mengawal interaksi antara pengguna dan tapak web. Jika tapak web anda mengandungi kandungan statik sepenuhnya dengan semua maklumat boleh diakses, penyerang boleh mendapat sangat sedikit daripada mengambil alih interaksi ini. Kemungkinan perkara paling serius yang mungkin dilakukan oleh penyerang dalam situasi ini ialah mengubah cara halaman muncul kepada pengguna tertentu

Tapak yang paling berpotensi menimbulkan bahaya ialah tapak yang pengguna mempunyai beberapa jenis akaun atau log masuk dan tempat mereka boleh melakukan tindakan dengan implikasi dunia sebenar atau mengakses data yang sepatutnya tidak tersedia. Masalah keselamatan ini menimbulkan ancaman serius kepada laman web tersebut; ia tidak perlu menceroboh masuk ke pelayan untuk mengawal tapak jika sebaliknya anda boleh mendapatkan akses pada akhir perkara pengguna

Ok, di manakah maklumat berkaitan Apache?
âÃÂâ Apache 1.3.12, yang menyediakan beberapa perlindungan terhadap keadaan tertentu masalah ini

âÃÂâ Tampalan Apache lama terhadap 1.3.11 yang menangani isu yang diketahui dalam versi Apache tersebut

âÃÂâ Halaman Contoh Pengekodan, menerangkan cara mengekod output anda dengan betul untuk melindungi daripada masalah ini menggunakan teknologi berkaitan Apache biasa, seperti modul Apache, Perl dan PHP

Kami tidak menjangka ini menjadi perkataan terakhir mengenai kaedah mengeksploitasi masalah ini. Berkemungkinan terdapat lebih banyak perubahan pada Apache pada masa hadapan untuk membantu pengguna menangani isu ini, walaupun tiada lagi pepijat ditemui dalam Apache itu sendiri. Walaupun kami menyediakan kebanyakan maklumat yang diperlukan untuk tapak untuk melindungi diri mereka daripada jenis serangan ini, masih terdapat banyak isu terbuka yang dikaitkan dengan isu ini

Kami menyedari bahawa ini adalah isu yang rumit dan mengharapkan untuk mengemas kini halaman ini untuk menerangkan isu dan membetulkan dengan lebih mendalam apabila masa mengizinkan

Mengapa nama "Skrip Merentas Tapak"?

Isu ini bukan sahaja mengenai skrip, dan tidak semestinya ada apa-apa rentas tapak mengenainya. Jadi kenapa namanya? Ia dicipta lebih awal apabila masalah itu kurang difahami, dan ia tersekat. Percayalah, kita mempunyai perkara yang lebih penting untuk dilakukan daripada memikirkan nama yang lebih baik.


Anda boleh menghantar sebarang komen atau cadangan tentang set halaman ini ke [email protected]. Harap maklum bahawa saya tidak dapat menjawab soalan atau permintaan untuk mendapatkan bantuan, jadi jika itu yang akan anda hantar, sila simpan usaha anda.