Această pagină conține informații despre problema de securitate Cross Site Scripting, despre modul în care acesta afectează Apache însuși și despre cum să vă protejați corect împotriva acesteia atunci când utilizați tehnologiile legate de Apache.

Pentru o prezentare generală a problemei, vă rugăm să consultați avizul CERT CA-2000-02 care a fost lansat cu privire la această problemă. De asemenea, ar trebui să consultați documentul de sfaturi tehnice Înțelegerea atenuării conținutului rău intenționat pentru dezvoltatorii web. Avizul CERT conține, de asemenea, linkuri către o serie de documente pe care Microsoft le-a publicat cu privire la această problemă, care merită, de asemenea, examinate dacă această problemă vă afectează. Informațiile conținute în aceste documente nu vor fi repetate aici; aceste informații presupun că ați citit aceste documente și sunteți familiarizat cu problema

Am dori să subliniem că acesta nu este un atac împotriva vreunei erori specifice dintr-o anumită bucată de software. Nu este o problemă Apache. Nu este o problemă Microsoft. Nu este o problemă Netscape. De fapt, nici măcar nu este o problemă care poate fi definită clar ca fiind o problemă de server sau o problemă de client. Este o problemă care este cu adevărat încrucișată și este rezultatul interacțiunilor neprevăzute și neașteptate între diferite componente ale unui set de sisteme complexe interconectate.

Există erori specifice într-o gamă largă de produse server web, inclusiv Apache, care permit sau contribuie la exploatarea acestei probleme de securitate. Aceste erori nu ar trebui să existe și trebuie remediate. Dar este esențial să ne dăm seama că aceasta este doar o mică parte din problema totală. Cea mai serioasă problemă este în tot codul specific site-ului care generează conținut dinamic. Vă oferim aceste informații pentru a vă educa cu privire la problemele care au fost descoperite în Apache care sunt legate de această problemă de securitate, dar, mai important, pentru a vă ajuta să vă educăm cu privire la modul în care acest lucru poate afecta propriul cod local dezvoltat folosind tehnologiile legate de Apache și modul în care dvs. poate repara

Nu există nici un patch „glonț de aur” pe care furnizorii de servere sau clienți îl pot lansa care să remedieze în mod magic această problemă pe toate serverele web sau clienții care folosesc acel produs


De asemenea, dorim să subliniem că este important să înțelegem că aceasta nu este vechea problemă binecunoscută, că dacă un site permite utilizatorului A să trimită conținut care este vizualizat de utilizatorul B, acesta trebuie să fie codificat corespunzător. Această vulnerabilitate este atunci când conținutul este trimis și vizualizat strict de către utilizatorul A. Din cauza dificultății de a codifica corect ieșirea în toate situațiile, multe site-uri nu își fac griji cu privire la codificarea datelor care sunt afișate doar utilizatorului care a trimis datele în cererea lor. din cauza presupunerii greșite că acest lucru nu reprezintă o amenințare pentru securitate

Acest lucru afectează site-ul meu web?

Aceasta este o problemă serioasă de securitate, cu potențiale implicații care abia încep să fie înțelese. Cu toate acestea, este esențial să realizăm că această problemă nu expune nicio modalitate de a pătrunde în serverul în sine. Ceea ce permite este ca atacatorii rău intenționați să preia controlul asupra interacțiunii dintre un utilizator și un site web. Dacă site-ul dvs. conține conținut complet static, toate informațiile fiind accesibile, un atacator poate câștiga foarte puțin din preluarea acestei interacțiuni. Este posibil ca cel mai grav lucru pe care îl poate face un atacator în această situație să fie schimbarea modului în care apare o pagină pentru un anumit utilizator.

Site-urile în care acest lucru prezintă cel mai potențial pericol sunt site-urile în care utilizatorii au un anumit tip de cont sau de conectare și unde pot efectua acțiuni cu implicații în lumea reală sau pot accesa date care nu ar trebui să fie disponibile. Această problemă de securitate reprezintă o amenințare serioasă pentru astfel de site-uri; nu este necesar să pătrunzi în server pentru a prelua controlul asupra unui site dacă, în schimb, poți obține acces de la capătul utilizatorului.

Ok, unde sunt informațiile legate de Apache?
âÃÂâ Apache 1.3.12, care oferă o anumită protecție împotriva anumitor cazuri ale acestei probleme

âÃÂâ Patch Apache mai vechi împotriva 1.3.11 care a abordat problemele cunoscute din acea versiune de Apache

âÃÂâ Pagina Exemple de codificare, care descrie cum să vă codificați corect rezultatul pentru a vă proteja împotriva acestei probleme utilizând tehnologii obișnuite legate de Apache, cum ar fi modulele Apache, Perl și PHP

Nu ne așteptăm ca acesta să fie ultimul cuvânt despre metodele de exploatare a acestei probleme. Este probabil că în viitor vor exista mai multe modificări la Apache pentru a ajuta utilizatorii să facă față acestei probleme, chiar dacă nu se găsesc mai multe erori în Apache însuși. Deși oferim majoritatea informațiilor necesare pentru ca site-urile să se protejeze împotriva acestui tip de atac, există încă multe probleme deschise asociate cu această problemă.

Ne dăm seama că aceasta este o problemă complexă și ne așteptăm să actualizăm aceste pagini pentru a descrie problemele și remedierea mai în profunzime pe măsură ce timpul ne permite

De ce numele „Cross Site Scripting”?

Această problemă nu se referă doar la scripting și nu există neapărat nimic între site-uri. Deci de ce numele? A fost inventat mai devreme, când problema a fost mai puțin înțeleasă și s-a blocat. Crede-mă, am avut lucruri mai importante de făcut decât să ne gândim la un nume mai bun.


Puteți trimite orice comentarii sau sugestii despre acest set de pagini la [email protected]. Rețineți că nu pot răspunde la întrebări sau solicitări de asistență, așa că dacă asta este pe cale să trimiteți, vă rugăm să economisiți efortul.