Deze pagina bevat informatie over het Cross Site Scripting-beveiligingsprobleem, hoe dit van invloed is op Apache zelf en hoe u zich er goed tegen kunt beschermen bij het gebruik van Apache-gerelateerde technologieën

Zie voor een overzicht van het probleem het CERT-advies CA-2000-02 dat over het probleem is uitgebracht. Bekijk ook hun gerelateerde document met technische tips Understanding Malicious Content Mitigation For Web Developers. Het CERT-advies bevat ook koppelingen naar een aantal documenten die Microsoft over het probleem heeft uitgebracht en die ook de moeite waard zijn om te bekijken als dit probleem u treft. De informatie in deze documenten wordt hier niet herhaald; deze informatie gaat ervan uit dat u deze documenten hebt gelezen en bekend bent met het probleem

We willen benadrukken dat dit geen aanval is op een specifieke bug in een specifiek stuk software. Het is geen Apache-probleem. Het is geen Microsoft-probleem. Het is geen Netscape-probleem. In feite is het niet eens een probleem dat duidelijk kan worden gedefinieerd als een serverprobleem of een clientprobleem. Het is een probleem dat echt platformoverschrijdend is en het resultaat is van onvoorziene en onverwachte interacties tussen verschillende componenten van een reeks onderling verbonden complexe systemen

Er zijn specifieke bugs in een groot aantal webserverproducten, waaronder Apache, die misbruik van dit beveiligingsprobleem mogelijk maken of ertoe bijdragen. Deze bugs zouden er niet moeten zijn en moeten worden opgelost. Maar het is van cruciaal belang om te beseffen dat dit slechts een klein deel is van het totale probleem. Het ernstigste probleem zit in alle sitespecifieke code die dynamische inhoud genereert. We brengen u deze informatie om u te informeren over de problemen die zijn ontdekt in Apache die verband houden met dit beveiligingsprobleem, maar wat nog belangrijker is, om u te informeren over hoe dit van invloed kan zijn op uw eigen lokale code die is ontwikkeld met behulp van Apache-gerelateerde technologieën en hoe u kan het repareren

Er is geen "golden bullet"-patch die server- of client-leveranciers kunnen uitbrengen die dit probleem op magische wijze zal oplossen voor alle webservers of clients die dat product gebruiken


We willen er ook op wijzen dat het belangrijk is om te begrijpen dat dit niet het oude, bekende probleem is, dat als een site gebruiker A toestaat inhoud in te dienen die door gebruiker B wordt bekeken, deze correct moet worden gecodeerd. Dit beveiligingslek doet zich voor wanneer de inhoud zowel wordt ingediend als strikt wordt bekeken door gebruiker A. Vanwege de moeilijkheid om uitvoer in alle situaties correct te coderen, maken veel sites zich geen zorgen over het coderen van gegevens die alleen worden getoond aan de gebruiker die de gegevens in hun verzoek heeft verzonden vanwege de verkeerde veronderstelling dat dit geen bedreiging vormt voor de veiligheid

Heeft dit gevolgen voor mijn website?

Dit is een serieus beveiligingsprobleem, met mogelijke implicaties die nu pas duidelijk beginnen te worden. Het is echter van cruciaal belang om te beseffen dat dit probleem geen manier blootlegt om in te breken op de server zelf. Wat het toestaat, is dat kwaadwillende aanvallers mogelijk de controle over de interactie tussen een gebruiker en een website overnemen. Als uw website volledig statische inhoud bevat en alle informatie toegankelijk is, kan een aanvaller weinig winnen bij het overnemen van deze interactie. Het meest serieuze dat een aanvaller in deze situatie kan doen, is waarschijnlijk de weergave van een pagina voor een bepaalde gebruiker wijzigen

De sites waar dit het grootste gevaar vormt, zijn sites waar gebruikers een soort account of login hebben en waar ze acties kunnen uitvoeren met implicaties voor de echte wereld of toegang kunnen krijgen tot gegevens die niet beschikbaar zouden moeten zijn. Dit beveiligingsprobleem vormt een ernstige bedreiging voor dergelijke sites; het is niet nodig om in te breken op de server om de controle over een site over te nemen als u in plaats daarvan toegang kunt krijgen aan de kant van de gebruiker

Oké, waar is de Apache-gerelateerde informatie?
âÃÂâ Apache 1.3.12, die enige bescherming biedt tegen bepaalde gevallen van dit probleem

âÃÂâ Oudere Apache-patch tegen 1.3.11 die de bekende problemen in die versie van Apache oploste

âÃÂâ Pagina met coderingsvoorbeelden, waarin wordt beschreven hoe u uw uitvoer op de juiste manier kunt coderen om dit probleem te voorkomen met behulp van algemene Apache-gerelateerde technologieën, zoals Apache-modules, Perl en PHP

We verwachten niet dat dit het laatste woord is over methoden om dit probleem uit te buiten. Het is waarschijnlijk dat er in de toekomst meer wijzigingen in Apache zullen zijn om gebruikers te helpen dit probleem op te lossen, zelfs als er geen bugs meer in Apache zelf worden gevonden. Hoewel we de meeste informatie verstrekken die nodig is voor sites om zichzelf te beschermen tegen dit soort aanvallen, zijn er nog steeds veel openstaande problemen in verband met dit probleem

We realiseren ons dat dit een complex probleem is en verwachten deze pagina's bij te werken om de problemen en oplossingen in de loop van de tijd uitgebreider te beschrijven

Waarom de naam "Cross Site Scripting"?

Dit probleem gaat niet alleen over scripting, en er is niet noodzakelijkerwijs iets cross-site over. Dus waarom de naam? Het werd eerder bedacht toen het probleem minder werd begrepen, en het bleef hangen. Geloof me, we hebben belangrijkere dingen te doen dan een betere naam te bedenken.


U kunt opmerkingen of suggesties over deze reeks pagina's sturen naar [email protected]. Houd er rekening mee dat ik niet kan reageren op vragen of verzoeken om hulp, dus als u dat wilt verzenden, bespaar uzelf dan de moeite.