На этой странице содержится информация о проблеме безопасности, связанной с межсайтовым скриптингом, о том, как она влияет на сам Apache и как правильно защититься от нее при использовании технологий, связанных с Apache.

Обзор проблемы см. в опубликованном совете CERT CA-2000-02. Вам также следует просмотреть соответствующий документ с техническими советами по предотвращению вредоносного контента для веб-разработчиков. Рекомендации CERT также содержат ссылки на ряд документов, выпущенных Microsoft по этой проблеме, которые также стоит просмотреть, если эта проблема коснется вас. Информация, содержащаяся в этих документах, здесь повторяться не будет; эта информация предполагает, что вы прочитали эти документы и знакомы с проблемой

Мы хотели бы подчеркнуть, что это не атака на какую-то конкретную ошибку в конкретной части программного обеспечения. Это не проблема апача. Это не проблема Майкрософт. Это не проблема Netscape. На самом деле, это даже не проблема, которую можно четко определить как проблему сервера или проблему клиента. Это проблема, которая действительно кроссплатформенная и является результатом непредвиденных и неожиданных взаимодействий между различными компонентами набора взаимосвязанных сложных систем.

В широком спектре продуктов веб-серверов, включая Apache, есть определенные ошибки, которые позволяют или способствуют эксплуатации этой проблемы безопасности. Этих ошибок быть не должно и их нужно исправлять. Но важно понимать, что это лишь крошечная часть общей проблемы. Самая серьезная проблема заключается во всем специфичном для сайта коде, который генерирует динамический контент. Мы приносим вам эту информацию, чтобы рассказать вам о проблемах, обнаруженных в Apache, которые связаны с этой проблемой безопасности, но, что более важно, помочь вам узнать, как это может повлиять на ваш собственный локальный код, разработанный с использованием технологий, связанных с Apache, и как вы могу это исправить

Не существует патча «золотой пули», который могут выпустить поставщики серверов или клиентов, который волшебным образом решит эту проблему на всех веб-серверах или клиентах, использующих этот продукт.


Мы также хотели бы отметить, что важно понимать, что это не старая, хорошо известная проблема, что если сайт позволяет пользователю A отправлять контент, который просматривает пользователь B, он должен быть правильно закодирован. Эта уязвимость возникает, когда содержимое отправляется и просматривается строго пользователем А. Из-за сложности правильного кодирования вывода во всех ситуациях многие сайты не беспокоятся о кодировании данных, которые отображаются только пользователю, отправившему данные в своем запросе. из-за ошибочного предположения, что это не представляет угрозы безопасности

Влияет ли это на мой веб-сайт?

Это серьезная проблема безопасности, потенциальные последствия которой только начинают осознаваться. Однако очень важно понимать, что эта проблема не дает возможности проникнуть в сам сервер. Это позволяет злоумышленникам потенциально контролировать взаимодействие между пользователем и веб-сайтом. Если ваш веб-сайт содержит полностью статический контент со всей доступной информацией, злоумышленник может очень мало выиграть от такого взаимодействия. Вполне вероятно, что самое серьезное, что потенциально может сделать злоумышленник в этой ситуации, — это изменить то, как страница отображается для конкретного пользователя.

Сайты, на которых это представляет наибольшую потенциальную опасность, — это сайты, на которых пользователи имеют учетную запись или логин определенного типа и где они могут выполнять действия с реальными последствиями или получать доступ к данным, которые не должны быть доступны. Эта проблема безопасности представляет серьезную угрозу для таких сайтов; нет необходимости взламывать сервер, чтобы получить контроль над сайтом, если вместо этого вы можете получить доступ на стороне пользователя

Хорошо, а где информация об Apache?
- Apache 1.3.12, обеспечивающий некоторую защиту от определенных случаев этой проблемы.

âÃÂâ Более старый патч Apache против 1.3.11, исправляющий известные проблемы в этой версии Apache

âÃÂâ Страница примеров кодирования, описывающая, как правильно кодировать выходные данные для защиты от этой проблемы с использованием распространенных технологий, связанных с Apache, таких как модули Apache, Perl и PHP.

Мы не ожидаем, что это будет последнее слово о методах эксплуатации этой проблемы. Вполне вероятно, что в будущем в Apache будут внесены дополнительные изменения, чтобы помочь пользователям справиться с этой проблемой, даже если в самом Apache больше не будет обнаружено ошибок. Несмотря на то, что мы предоставляем большую часть необходимой информации для сайтов, чтобы защитить себя от этого типа атак, все еще остается много нерешенных вопросов, связанных с этой проблемой.

Мы понимаем, что это сложная проблема, и ожидаем обновления этих страниц для более подробного описания проблем и исправлений, когда позволит время.

Почему название «Межсайтовый скриптинг»?

Эта проблема связана не только со сценариями, и в этом нет ничего межсайтового. Так почему имя? Он был придуман ранее, когда проблема была менее понятна, и застрял. Поверьте мне, у нас были более важные дела, чем думать о лучшем названии.


Вы можете отправить любые комментарии или предложения по этому набору страниц по адресу [email protected]. Обратите внимание, что я не могу отвечать на вопросы или просьбы о помощи, поэтому, если это то, что вы собираетесь отправить, пожалуйста, сэкономьте усилия.