Інформація про міжсайтовий сценарій

Ця сторінка містить інформацію про проблему безпеки Cross Site Scripting, як вона впливає на сам Apache і як належним чином захиститися від неї під час використання пов’язаних з Apache технологій

Щоб отримати огляд проблеми, перегляньте консультацію CERT CA-2000-02, випущену щодо цієї проблеми. Ви також повинні переглянути їхній пов’язаний документ із технічними порадами «Розуміння захисту від шкідливого вмісту для веб-розробників». Порада CERT також містить посилання на низку документів, опублікованих корпорацією Майкрософт щодо проблеми, які також варто переглянути, якщо ця проблема стосується вас. Інформація, що міститься в цих документах, не повторюватиметься тут; ця інформація передбачає, що ви прочитали ці документи та знайомі з проблемою

Ми хотіли б підкреслити, що це не атака на будь-яку конкретну помилку в певній частині програмного забезпечення. Це не проблема Apache. Це не проблема Microsoft. Це не проблема Netscape. Насправді це навіть не проблема, яку можна чітко визначити як проблему сервера чи проблему клієнта. Це справді міжплатформна проблема, яка є результатом непередбачених і неочікуваних взаємодій між різними компонентами набору взаємопов’язаних складних систем.

Існують певні помилки в багатьох продуктах веб-серверів, включаючи Apache, які дозволяють або сприяють використанню цієї проблеми безпеки. Цих помилок не повинно бути, і їх потрібно виправити. Але важливо розуміти, що це лише крихітна частина загальної проблеми. Найсерйозніша проблема полягає у всьому коді сайту, який генерує динамічний вміст. Ми надаємо вам цю інформацію, щоб ознайомити вас з проблемами, які були виявлені в Apache і пов’язані з цією проблемою безпеки, але, що важливіше, допомогти вам дізнатися, як це може вплинути на ваш власний локальний код, розроблений за допомогою технологій, пов’язаних з Apache, і як ви може це виправити

Немає «золотої кулі» патча, який могли б випустити постачальники серверів або клієнтів, який чарівним чином вирішив би цю проблему на всіх веб-серверах або клієнтах, які використовують цей продукт


Ми також хотіли б зазначити, що важливо розуміти, що це не стара, добре відома проблема: якщо сайт дозволяє користувачеві A надсилати вміст, який переглядає користувач B, він має бути належним чином закодований. Ця вразливість виникає, коли вміст надсилається та переглядається виключно користувачем A. Через труднощі правильного кодування виводу в усіх ситуаціях багато сайтів не турбуються про кодування даних, які показуються лише користувачу, який надіслав дані у своєму запиті через помилкове припущення, що це не становить загрози безпеці

Чи впливає це на мій веб-сайт?

Це серйозна проблема безпеки з потенційними наслідками, які тільки починають розуміти. Однак важливо розуміти, що ця проблема не відкриває жодного способу проникнення на сам сервер. Це дозволяє зловмисникам потенційно взяти під контроль взаємодію між користувачем і веб-сайтом. Якщо ваш веб-сайт містить повністю статичний вміст із усією доступною інформацією, зловмисник може отримати дуже мало виграшу, переймаючи цю взаємодію. Цілком ймовірно, що найсерйозніше, що потенційно може зробити зловмисник у цій ситуації, це змінити вигляд сторінки для конкретного користувача

Сайти, на яких це становить найбільшу потенційну небезпеку, — це сайти, де користувачі мають певний тип облікового запису або логіна, і де вони можуть виконувати дії з реальними наслідками або отримувати доступ до даних, які не повинні бути доступними. Ця проблема безпеки становить серйозну загрозу для таких сайтів; не обов’язково проникати на сервер, щоб отримати контроль над сайтом, якщо натомість ви можете отримати доступ з боку користувача

Гаразд, де інформація, пов’язана з Apache?
âÃÂâ Apache 1.3.12, який забезпечує певний захист від певних випадків цієї проблеми

âÃÂâ Старіший патч Apache проти 1.3.11, який вирішував відомі проблеми в цій версії Apache

âÃÂâ Сторінка прикладів кодування, яка описує, як належним чином кодувати вихідні дані, щоб захистити від цієї проблеми за допомогою поширених пов’язаних з Apache технологій, таких як модулі Apache, Perl і PHP

Ми не очікуємо, що це буде останнє слово щодо методів використання цієї проблеми. Ймовірно, у майбутньому в Apache буде внесено більше змін, щоб допомогти користувачам вирішити цю проблему, навіть якщо в самому Apache більше не буде знайдено помилок. Незважаючи на те, що ми надаємо більшість необхідної інформації для сайтів, щоб захистити себе від такого типу атак, існує ще багато відкритих проблем, пов’язаних із цією проблемою

Ми усвідомлюємо, що це складна проблема, і очікуємо оновити ці сторінки, щоб детальніше описати проблеми та виправлення, як тільки дозволить час

Чому назва "Міжсайтовий сценарій"?

Ця проблема стосується не лише сценаріїв, і тут не обов’язково є щось міжсайтове. Тож чому така назва? Це було придумано раніше, коли проблема була менш зрозумілою, і вона застрягла. Повірте, у нас були важливіші справи, ніж придумати кращу назву.


Ви можете надсилати будь-які коментарі чи пропозиції щодо цього набору сторінок на адресу [email protected]. Зауважте, що я не можу відповідати на запитання чи прохання про допомогу, тому, якщо ви збираєтеся надіслати це, не витрачайте зусилля.