یہ صفحہ کراس سائٹ اسکرپٹنگ سیکیورٹی کے مسئلے کے بارے میں معلومات پر مشتمل ہے، یہ خود اپاچی کو کس طرح متاثر کرتا ہے، اور اپاچی سے متعلقہ ٹیکنالوجیز استعمال کرتے وقت اس سے صحیح طریقے سے کیسے بچنا ہے۔
مسئلے کے جائزہ کے لیے، براہ کرم CERT ایڈوائزری CA-2000-02 دیکھیں جو اس مسئلے پر جاری کیا گیا ہے۔ آپ کو ویب ڈویلپرز کے ٹیک ٹپس دستاویز کے لیے ان کی متعلقہ تفہیم نقصاندہ مواد کی تخفیف کا بھی جائزہ لینا چاہیے۔ CERT ایڈوائزری میں متعدد دستاویزات کے لنکس بھی شامل ہیں جو مائیکروسافٹ نے اس مسئلے پر پیش کیے ہیں جن کا جائزہ لینے کے قابل ہے اگر یہ مسئلہ آپ کو متاثر کرتا ہے۔ ان دستاویزات میں موجود معلومات کو یہاں دہرایا نہیں جائے گا۔ یہ معلومات فرض کرتی ہے کہ آپ نے ان دستاویزات کو پڑھ لیا ہے اور آپ اس مسئلے سے واقف ہیں۔
ہم اس بات پر زور دینا چاہیں گے کہ یہ سافٹ ویئر کے مخصوص حصے میں کسی مخصوص بگ کے خلاف حملہ نہیں ہے۔ یہ اپاچی کا مسئلہ نہیں ہے۔ یہ مائیکروسافٹ کا مسئلہ نہیں ہے۔ یہ نیٹ اسکیپ کا مسئلہ نہیں ہے۔ درحقیقت، یہ کوئی مسئلہ بھی نہیں ہے جسے واضح طور پر سرور کا مسئلہ یا کلائنٹ کا مسئلہ قرار دیا جا سکتا ہے۔ یہ ایک ایسا مسئلہ ہے جو واقعی کراس پلیٹ فارم ہے اور ایک دوسرے سے جڑے ہوئے پیچیدہ نظاموں کے سیٹ کے مختلف اجزاء کے درمیان غیر متوقع اور غیر متوقع تعامل کا نتیجہ ہے۔
ویب سرور پروڈکٹس کی ایک وسیع رینج میں مخصوص کیڑے ہیں، بشمول Apache، جو اس حفاظتی مسئلہ کے استحصال کی اجازت دیتے ہیں یا اس میں تعاون کرتے ہیں۔ یہ کیڑے وہاں نہیں ہونے چاہئیں اور انہیں ٹھیک کرنے کی ضرورت ہے۔ لیکن یہ سمجھنا ضروری ہے کہ یہ کل مسئلے کا صرف ایک چھوٹا سا حصہ ہے۔ سب سے سنگین مسئلہ سائٹ کے مخصوص کوڈ کا ہے جو متحرک مواد تیار کرتا ہے۔ ہم آپ کو یہ معلومات ان مسائل کے بارے میں آگاہ کرنے کے لیے لا رہے ہیں جو اپاچی میں دریافت ہوئے ہیں جو اس سیکیورٹی کے مسئلے سے متعلق ہیں لیکن، اس سے بھی اہم بات یہ ہے کہ آپ کو یہ تعلیم دینے میں مدد کریں کہ یہ اپاچی سے متعلقہ ٹیکنالوجیز کا استعمال کرتے ہوئے تیار کردہ آپ کے اپنے مقامی کوڈ کو کیسے متاثر کر سکتا ہے اور آپ کیسے اسے ٹھیک کر سکتے ہیں۔
کوئی "گولڈن بلٹ"پیچ نہیں ہے جسے سرور یا کلائنٹ وینڈرز جاری کر سکتے ہیں جو اس پروڈکٹ کو استعمال کرنے والے تمام ویب سرورز یا کلائنٹس میں جادوئی طور پر اس مسئلے کو حل کر دے گا۔
ہم یہ بھی بتانا چاہیں گے کہ یہ سمجھنا ضروری ہے کہ یہ پرانا، معروف مسئلہ نہیں ہے، کہ اگر کوئی سائٹ صارف A کو ایسا مواد جمع کرنے کی اجازت دیتی ہے جسے صارف B دیکھتا ہے، تو اسے مناسب طریقے سے انکوڈ کیا جانا چاہیے۔ یہ خطرہ اس وقت ہوتا ہے جب صارف A کے ذریعہ مواد کو جمع اور سختی سے دیکھا جاتا ہے۔ تمام حالات میں آؤٹ پٹ کو صحیح طریقے سے انکوڈنگ کرنے میں دشواری کی وجہ سے، بہت سی سائٹیں ڈیٹا کو انکوڈنگ کرنے کی فکر نہیں کرتی ہیں جو صرف اس صارف کو دکھایا جاتا ہے جس نے اپنی درخواست میں ڈیٹا بھیجا تھا۔ غلط مفروضے کی وجہ سے کہ اس سے سیکیورٹی کو کوئی خطرہ نہیں ہے۔
کیا یہ میری ویب سائٹ کو متاثر کرتا ہے؟
یہ سیکیورٹی کا ایک سنگین مسئلہ ہے، جس کے ممکنہ مضمرات ابھی سمجھے جانے لگے ہیں۔ تاہم، یہ سمجھنا بہت ضروری ہے کہ یہ مسئلہ خود سرور میں داخل ہونے کا کوئی طریقہ ظاہر نہیں کرتا ہے۔ جو چیز یہ اجازت دیتی ہے کہ وہ بدنیتی پر مبنی حملہ آوروں کو ممکنہ طور پر صارف اور ویب سائٹ کے درمیان تعامل کا کنٹرول سنبھال لیں۔ اگر آپ کی ویب سائٹ مکمل طور پر جامد مواد پر مشتمل ہے جس میں تمام معلومات قابل رسائی ہیں، تو حملہ آور اس تعامل کو سنبھالنے سے بہت کم فائدہ اٹھا سکتا ہے۔ اس صورت حال میں ممکنہ طور پر سب سے سنگین چیز جو حملہ آور کر سکتا ہے وہ یہ ہے کہ صفحہ کسی خاص صارف کے سامنے کیسے ظاہر ہوتا ہے۔
وہ سائٹس جہاں اس سے سب سے زیادہ خطرہ لاحق ہوتا ہے وہ سائٹس ہیں جہاں صارفین کے پاس کسی قسم کا اکاؤنٹ یا لاگ ان ہوتا ہے اور جہاں وہ حقیقی دنیا کے مضمرات کے ساتھ کارروائیاں کر سکتے ہیں یا ڈیٹا تک رسائی حاصل کر سکتے ہیں جو دستیاب نہیں ہونا چاہیے۔ سیکیورٹی کا یہ مسئلہ ایسی سائٹس کے لیے سنگین خطرہ ہے۔ کسی سائٹ کا کنٹرول حاصل کرنے کے لیے سرور میں گھسنا ضروری نہیں ہے اگر اس کے بجائے آپ صارف کی چیزوں کے اختتام تک رسائی حاصل کر سکتے ہیں۔
ٹھیک ہے، اپاچی سے متعلق معلومات کہاں ہے؟
اپاچی 1.3.12، جو اس مسئلے کی کچھ مثالوں کے خلاف کچھ تحفظ فراہم کرتا ہے۔
1.3.11 کے خلاف پرانا اپاچی پیچ جس نے اپاچی کے اس ورژن میں معلوم مسائل کو حل کیا
عام اپاچی سے متعلقہ ٹیکنالوجیز، جیسے کہ اپاچی ماڈیولز، پرل، اور پی ایچ پی کا استعمال کرتے ہوئے اس مسئلے سے بچانے کے لیے اپنے آؤٹ پٹ کو صحیح طریقے سے انکوڈ کرنے کا طریقہ، انکوڈنگ مثالوں کا صفحہ۔
ہم امید نہیں کرتے کہ اس مسئلے سے فائدہ اٹھانے کے طریقوں پر یہ آخری لفظ ہوگا۔ امکان ہے کہ مستقبل میں اپاچی میں مزید تبدیلیاں ہوں گی تاکہ صارفین کو اس مسئلے سے نمٹنے میں مدد ملے، چاہے اپاچی ہی میں مزید کیڑے نہ پائے جائیں۔ اگرچہ ہم اس قسم کے حملے سے خود کو محفوظ رکھنے کے لیے سائٹس کے لیے زیادہ تر ضروری معلومات فراہم کرتے ہیں، لیکن اس مسئلے سے وابستہ بہت سے کھلے مسائل اب بھی موجود ہیں۔
ہم سمجھتے ہیں کہ یہ ایک پیچیدہ مسئلہ ہے اور ہم ان صفحات کو اپ ڈیٹ کرنے کی توقع رکھتے ہیں تاکہ وقت کی اجازت کے مطابق مسائل اور حل کو مزید گہرائی میں بیان کیا جا سکے۔
نام "کراس سائٹ سکرپٹ"کیوں؟
یہ مسئلہ صرف اسکرپٹنگ کے بارے میں نہیں ہے، اور ضروری نہیں کہ اس کے بارے میں کچھ بھی کراس سائٹ ہو۔ تو نام کیوں؟ یہ پہلے اس وقت وضع کیا گیا تھا جب مسئلہ کم سمجھا گیا تھا، اور یہ پھنس گیا۔ مجھ پر یقین کریں، ہمارے پاس ایک بہتر نام کے بارے میں سوچنے سے کہیں زیادہ اہم چیزیں ہیں۔
آپ صفحات کے اس سیٹ کے بارے میں کوئی تبصرہ یا تجاویز [email protected] پر بھیج سکتے ہیں۔ نوٹ کریں کہ میں مدد کے لیے سوالات یا درخواستوں کا جواب نہیں دے سکتا، اس لیے اگر آپ یہی بھیجنے والے ہیں تو براہ کرم اپنی کوشش کو بچائیں۔
مشترکہ ویب ہوسٹنگ#74