Cross Site Scripting Info

Ang pahinang ito ay naglalaman ng impormasyon tungkol sa isyu sa seguridad ng Cross Site Scripting, kung paano ito nakakaapekto sa Apache mismo, at kung paano maayos na maprotektahan laban dito kapag gumagamit ng mga teknolohiyang nauugnay sa Apache

Para sa pangkalahatang-ideya ng isyu, pakitingnan ang CERT Advisory CA-2000-02 na inilabas sa isyu. Dapat mo ring suriin ang kanilang nauugnay na Pag-unawa sa Nakakahamak na Pagbabawas ng Nilalaman Para sa mga Web Developer na dokumento ng mga tip sa teknolohiya. Naglalaman din ang CERT advisory ng mga link sa ilang mga dokumento na inilabas ng Microsoft sa isyu na nararapat ding suriin kung maapektuhan ka ng isyung ito. Ang impormasyong nakapaloob sa mga dokumentong ito ay hindi mauulit dito; ipinapalagay ng impormasyong ito na nabasa mo ang mga dokumentong ito at pamilyar sa isyu

Nais naming bigyang-diin na hindi ito isang pag-atake laban sa anumang partikular na bug sa isang partikular na piraso ng software. Ito ay hindi isang problema sa Apache. Ito ay hindi isang problema sa Microsoft. Ito ay hindi isang problema sa Netscape. Sa katunayan, hindi ito isang problema na maaaring malinaw na tukuyin bilang isang problema sa server o isang problema sa kliyente. Isa itong isyu na tunay na cross platform at resulta ng hindi inaasahan at hindi inaasahang pakikipag-ugnayan sa pagitan ng iba't ibang bahagi ng isang set ng magkakaugnay na kumplikadong mga sistema

May mga partikular na bug sa isang malawak na hanay ng mga produkto ng web server, kabilang ang Apache, na nagpapahintulot o nag-aambag sa pagsasamantala sa problemang ito sa seguridad. Ang mga bug na ito ay hindi dapat naroroon at kailangang ayusin. Ngunit ito ay kritikal na mapagtanto na ito ay isang maliit na bahagi lamang ng kabuuang isyu. Ang pinakaseryosong isyu ay nasa lahat ng code na partikular sa site na bumubuo ng dynamic na content. Dinadala namin sa iyo ang impormasyong ito upang turuan ka sa mga isyung natuklasan sa Apache na nauugnay sa problemang ito sa seguridad ngunit, higit sa lahat, tumulong na turuan ka kung paano ito maaaring makaapekto sa iyong sariling lokal na code na binuo gamit ang mga teknolohiyang nauugnay sa Apache at kung paano ka maaaring ayusin ito

Walang patch na "golden bullet"na maaaring ilabas ng mga server o client vendor na mahiwagang ayusin ang isyung ito sa lahat ng web server o kliyente na gumagamit ng produktong iyon


Nais din naming ituro na mahalagang maunawaan na hindi ito ang luma, kilalang isyu, na kung pinapayagan ng isang site ang user A na magsumite ng nilalamang tinitingnan ng user B, kailangan itong maayos na naka-encode. Ang kahinaan na ito ay kapag ang nilalaman ay parehong isinumite at tiningnan nang mahigpit ng user A. Dahil sa kahirapan ng maayos na pag-encode ng output sa lahat ng sitwasyon, maraming mga site ang hindi nag-aalala tungkol sa pag-encode ng data na ipinapakita lamang sa user na nagpadala ng data sa kanilang kahilingan dahil sa maling palagay na hindi ito nagdudulot ng banta sa seguridad

Nakakaapekto ba ito sa aking web site?

Isa itong seryosong isyu sa seguridad, na may mga potensyal na implikasyon na nagsisimula pa lang maunawaan. Gayunpaman, kritikal na mapagtanto na ang problemang ito ay hindi naglalantad ng anumang paraan upang makapasok sa server mismo. Ang pinapayagan nito ay para sa mga malisyosong umaatake na potensyal na kontrolin ang pakikipag-ugnayan sa pagitan ng isang user at isang website. Kung ang iyong website ay naglalaman ng ganap na static na nilalaman na ang lahat ng impormasyon ay naa-access, ang isang umaatake ay maaaring makakuha ng napakakaunting mula sa pagkuha sa pakikipag-ugnayan na ito. Malamang na ang pinakaseryosong bagay na posibleng gawin ng isang umaatake sa sitwasyong ito ay ang pagbabago kung paano lumilitaw ang isang page sa isang partikular na user

Ang mga site kung saan ito nagdudulot ng pinakamaraming potensyal na panganib ay ang mga site kung saan ang mga user ay may ilang uri ng account o pag-log in at kung saan maaari silang magsagawa ng mga aksyon na may tunay na implikasyon sa mundo o pag-access ng data na hindi dapat makuha. Ang problema sa seguridad na ito ay nagdudulot ng malubhang banta sa mga naturang site; hindi kinakailangang pumasok sa server upang kontrolin ang isang site kung sa halip ay makakakuha ka ng access sa dulo ng mga bagay ng user

Ok, nasaan ang impormasyong nauugnay sa Apache?
âÃÂâ Apache 1.3.12, na nagbibigay ng ilang proteksyon laban sa ilang pagkakataon ng problemang ito

âÃÂâ Mas lumang Apache patch laban sa 1.3.11 na tumugon sa mga kilalang isyu sa bersyong iyon ng Apache

âÃÂâ pahina ng Mga Halimbawa ng Encoding, na naglalarawan kung paano maayos na i-encode ang iyong output upang maprotektahan laban sa problemang ito gamit ang mga karaniwang teknolohiyang nauugnay sa Apache, gaya ng mga Apache module, Perl, at PHP

Hindi namin inaasahan na ito ang huling salita sa mga paraan ng pagsasamantala sa problemang ito. Malamang na magkakaroon ng higit pang mga pagbabago sa Apache sa hinaharap upang matulungan ang mga user na harapin ang isyung ito, kahit na wala nang mga bug na makikita sa Apache mismo. Bagama't ibinibigay namin ang karamihan sa kinakailangang impormasyon para sa mga site upang maprotektahan ang kanilang sarili laban sa ganitong uri ng pag-atake, marami pa ring bukas na isyu na nauugnay sa isyung ito.

Napagtanto namin na ito ay isang kumplikadong isyu at inaasahan naming i-update ang mga pahinang ito upang ilarawan ang mga isyu at pag-aayos nang mas malalim habang pinahihintulutan ng oras

Bakit ang pangalan ay "Cross Site Scripting"?

Ang isyung ito ay hindi lamang tungkol sa pag-script, at walang anumang cross site tungkol dito. Kaya bakit ang pangalan? Ito ay likha nang mas maaga noong ang problema ay hindi gaanong naiintindihan, at ito ay natigil. Maniwala ka sa akin, mayroon tayong mas mahahalagang bagay na dapat gawin kaysa mag-isip ng mas magandang pangalan.


Maaari kang magpadala ng anumang mga komento o mungkahi tungkol sa hanay ng mga pahinang ito sa [email protected]. Tandaan na hindi ako makakasagot sa mga tanong o kahilingan para sa tulong, kaya kung iyon ang ipapadala mo, mangyaring iligtas ang iyong sarili sa pagsisikap.