Bu sayfa, Siteler Arası Komut Dosyası çalıştırma güvenlik sorunu, bunun Apache'yi nasıl etkilediği ve Apache ile ilgili teknolojileri kullanırken buna karşı nasıl uygun şekilde korunacağı hakkında bilgiler içerir.

Konuya genel bir bakış için lütfen konu hakkında yayınlanmış olan CERT Danışma Belgesi CA-2000-02'ye bakın. Ayrıca, ilgili Web Geliştiricileri İçin Kötü Amaçlı İçeriğin Azaltılmasını Anlama teknik ipuçları belgesini de gözden geçirmelisiniz. CERT danışma belgesi ayrıca Microsoft'un bu sorunla ilgili olarak yayınladığı ve bu sorun sizi etkiliyorsa incelemeye değer bir dizi belgeye bağlantılar içerir. Bu belgelerde yer alan bilgiler burada tekrarlanmayacak; bu bilgiler, bu belgeleri okuduğunuzu ve soruna aşina olduğunuzu varsayar

Bunun, belirli bir yazılımdaki belirli bir hataya yönelik bir saldırı olmadığını vurgulamak isteriz. Bu bir Apache sorunu değil. Bu bir Microsoft sorunu değildir. Bu bir Netscape sorunu değil. Aslında sunucu sorunu ya da client sorunu olarak net bir şekilde tanımlanabilecek bir sorun bile değil. Bu, gerçekten çapraz platform olan bir sorundur ve bir dizi birbirine bağlı karmaşık sistemin çeşitli bileşenleri arasındaki öngörülemeyen ve beklenmeyen etkileşimlerin sonucudur.

Apache de dahil olmak üzere çok çeşitli web sunucusu ürünlerinde, bu güvenlik sorununun kullanılmasına izin veren veya katkıda bulunan belirli hatalar vardır. Bu hatalar orada olmamalı ve düzeltilmesi gerekiyor. Ancak bunun, toplam sorunun yalnızca küçük bir parçası olduğunun farkına varmak çok önemlidir. En ciddi sorun, dinamik içerik oluşturan tüm siteye özgü kodlardır. Bu bilgileri, Apache'de keşfedilen ve bu güvenlik sorunuyla ilgili sorunlar hakkında sizi eğitmek için sunuyoruz, ancak daha da önemlisi, bunun Apache ile ilgili teknolojiler kullanılarak geliştirilen kendi yerel kodunuzu nasıl etkileyebileceği ve nasıl düzeltebilir

Sunucu veya istemci satıcılarının yayınlayabileceği ve bu ürünü kullanan tüm web sunucuları veya istemcilerde bu sorunu sihirli bir şekilde çözecek bir "altın mermi"yaması yoktur.


Ayrıca, bunun eski, iyi bilinen bir sorun olmadığını anlamanın önemli olduğunu belirtmek isteriz; bir site, A kullanıcısının B kullanıcısı tarafından görüntülenen içeriği göndermesine izin veriyorsa, bunun uygun şekilde kodlanması gerekir. Bu güvenlik açığı, içeriğin yalnızca A kullanıcısı tarafından hem gönderildiğinde hem de görüntülendiğinde ortaya çıkar. Her durumda çıktıyı düzgün bir şekilde kodlamanın zorluğu nedeniyle, birçok site, yalnızca isteğinde verileri gönderen kullanıcıya gösterilen verileri kodlama konusunda endişelenmez. bunun bir güvenlik tehdidi oluşturmadığına dair yanlış varsayım nedeniyle

Bu web sitemi etkiler mi?

Bu, yeni yeni anlaşılmaya başlanan potansiyel sonuçları olan ciddi bir güvenlik sorunudur. Ancak, bu sorunun sunucunun kendisine herhangi bir şekilde izinsiz girme olasılığını ortaya çıkarmadığını anlamak çok önemlidir. Kötü niyetli saldırganların potansiyel olarak bir kullanıcı ile bir web sitesi arasındaki etkileşimin kontrolünü ele geçirmesine izin verir. Web siteniz tüm bilgilere erişilebilen tamamen statik içerik içeriyorsa, bir saldırgan bu etkileşimi ele geçirerek çok az kazanç elde edebilir. Bu durumda bir saldırganın potansiyel olarak yapabileceği en ciddi şey, bir sayfanın belirli bir kullanıcıya nasıl göründüğünü değiştirmek olabilir.

Bunun en olası tehlikeyi oluşturduğu siteler, kullanıcıların bir tür hesaba veya girişe sahip olduğu ve gerçek dünya etkileri olan eylemler gerçekleştirebildikleri veya bulunmaması gereken verilere erişebildikleri sitelerdir. Bu güvenlik sorunu bu tür siteler için ciddi bir tehdit oluşturmaktadır; bir sitenin kontrolünü ele geçirmek için sunucuya girmenize gerek yoktur, bunun yerine kullanıcının işlerine erişebiliyorsanız

Tamam, Apache ile ilgili bilgiler nerede?
Bu sorunun belirli örneklerine karşı bir miktar koruma sağlayan âÃÂâ Apache 1.3.12

âÃÂâ 1.3.11'e yönelik eski Apache yaması, bu Apache sürümündeki bilinen sorunları ele aldı

âÃÂâ Kodlama Örnekleri sayfası, Apache modülleri, Perl ve PHP gibi yaygın Apache ile ilgili teknolojileri kullanarak bu soruna karşı koruma sağlamak için çıktınızı doğru şekilde nasıl kodlayacağınızı açıklar

Bunun, bu sorundan yararlanma yöntemleri konusunda son söz olmasını beklemiyoruz. Apache'nin kendisinde daha fazla hata bulunmasa bile, kullanıcıların bu sorunla başa çıkmasına yardımcı olmak için gelecekte Apache'de daha fazla değişiklik olması muhtemeldir. Sitelerin kendilerini bu tür saldırılara karşı korumaları için gerekli bilgilerin çoğunu sağlamamıza rağmen, bu sorunla ilişkili birçok açık sorun var.

Bunun karmaşık bir sorun olduğunun farkındayız ve zaman elverdikçe sorunları ve düzeltmeleri daha derinlemesine açıklamak için bu sayfaları güncellemeyi umuyoruz.

Neden "Siteler Arası Komut Dosyası"adı?

Bu sorun yalnızca komut dosyası oluşturma ile ilgili değildir ve bu konuda mutlaka siteler arası bir şey yoktur. Peki neden isim? Sorun daha az anlaşıldığında daha önce icat edildi ve takılıp kaldı. İnan bana, daha iyi bir isim düşünmekten daha önemli işlerimiz vardı.


Bu sayfa grubuyla ilgili her türlü görüş ve önerilerinizi [email protected] adresine gönderebilirsiniz. Sorulara veya yardım taleplerine yanıt veremeyeceğimi unutmayın, bu nedenle göndermek üzere olduğunuz şey buysa, lütfen zahmet etmeyin.