Thông tin về Cross Site Scripting

Trang này chứa thông tin về vấn đề bảo mật Cross Site Scripting, cách nó tác động đến chính Apache và cách bảo vệ chống lại nó đúng cách khi sử dụng các công nghệ liên quan đến Apache

Để biết tổng quan về vấn đề này, vui lòng xem Tư vấn CERT CA-2000-02 đã được phát hành về vấn đề này. Bạn cũng nên xem lại tài liệu thủ thuật công nghệ Hiểu biết về Giảm thiểu Nội dung Độc hại dành cho Nhà phát triển Web có liên quan của họ. Tư vấn CERT cũng chứa các liên kết đến một số tài liệu mà Microsoft đã đưa ra về vấn đề này. Tài liệu này cũng đáng để xem xét nếu vấn đề này ảnh hưởng đến bạn. Thông tin trong các tài liệu này sẽ không được lặp lại ở đây; thông tin này giả định rằng bạn đã đọc các tài liệu này và quen thuộc với vấn đề

Chúng tôi muốn nhấn mạnh rằng đây không phải là một cuộc tấn công chống lại bất kỳ lỗi cụ thể nào trong một phần mềm cụ thể. Nó không phải là vấn đề của Apache. Nó không phải là một vấn đề của Microsoft. Nó không phải là một vấn đề Netscape. Trên thực tế, nó thậm chí không phải là một vấn đề có thể được xác định rõ ràng là sự cố máy chủ hay sự cố máy khách. Đây là một vấn đề thực sự đa nền tảng và là kết quả của các tương tác bất ngờ và không lường trước được giữa các thành phần khác nhau của một tập hợp các hệ thống phức hợp được kết nối với nhau

Có các lỗi cụ thể trong nhiều loại sản phẩm máy chủ web, bao gồm cả Apache, cho phép hoặc góp phần vào việc khai thác sự cố bảo mật này. Những lỗi này không nên có và cần phải được sửa chữa. Nhưng điều quan trọng là phải nhận ra rằng đây chỉ là một phần nhỏ trong toàn bộ vấn đề. Vấn đề nghiêm trọng nhất là trong tất cả các mã cụ thể của trang tạo ra nội dung động. Chúng tôi mang đến cho bạn thông tin này để hướng dẫn bạn về các vấn đề đã được phát hiện trong Apache có liên quan đến vấn đề bảo mật này nhưng quan trọng hơn là giúp hướng dẫn bạn về cách điều này có thể ảnh hưởng đến mã cục bộ của chính bạn được phát triển bằng các công nghệ liên quan đến Apache và cách bạn có thể sửa nó

Không có bản vá "viên đạn vàng"nào mà các nhà cung cấp máy chủ hoặc máy khách có thể phát hành để khắc phục sự cố này một cách kỳ diệu trên tất cả các máy chủ web hoặc máy khách sử dụng sản phẩm đó


Chúng tôi cũng muốn chỉ ra rằng điều quan trọng là phải hiểu rằng đây không phải là vấn đề cũ, nổi tiếng, rằng nếu một trang web cho phép người dùng A gửi nội dung mà người dùng B xem thì nội dung đó phải được mã hóa đúng cách. Lỗ hổng này xảy ra khi nội dung được gửi và xem nghiêm ngặt bởi người dùng A. Do khó mã hóa đầu ra đúng cách trong mọi tình huống, nhiều trang web không lo lắng về việc mã hóa dữ liệu chỉ hiển thị cho người dùng đã gửi dữ liệu trong yêu cầu của họ do giả định sai lầm rằng điều này không gây ra mối đe dọa bảo mật

Điều này có ảnh hưởng đến trang web của tôi không?

Đây là một vấn đề bảo mật nghiêm trọng, với những tác động tiềm tàng mà chỉ mới bắt đầu được hiểu rõ. Tuy nhiên, điều quan trọng là phải nhận ra rằng sự cố này không bộc lộ bất kỳ cách nào để đột nhập vào chính máy chủ. Những gì nó cho phép là những kẻ tấn công độc hại có khả năng kiểm soát sự tương tác giữa người dùng và trang web. Nếu trang web của bạn chứa nội dung hoàn toàn tĩnh với tất cả thông tin có thể truy cập được, thì kẻ tấn công có thể kiếm được rất ít từ việc chiếm quyền tương tác này. Có khả năng điều nghiêm trọng nhất mà kẻ tấn công có thể làm trong tình huống này là thay đổi cách một trang xuất hiện đối với một người dùng cụ thể

Các trang web mà điều này gây nguy hiểm tiềm tàng nhất là các trang web nơi người dùng có một số loại tài khoản hoặc thông tin đăng nhập và nơi họ có thể thực hiện các hành động liên quan đến thế giới thực hoặc truy cập dữ liệu không nên có. Vấn đề bảo mật này đặt ra một mối đe dọa nghiêm trọng cho các trang web như vậy; không cần thiết phải xâm nhập vào máy chủ để chiếm quyền kiểm soát trang web nếu thay vào đó, bạn có thể có quyền truy cập vào phần cuối của người dùng

Ok, thông tin liên quan đến Apache ở đâu?
âÃÂâ Apache 1.3.12, cung cấp một số biện pháp bảo vệ chống lại một số trường hợp nhất định của sự cố này

âÃÂâ Bản vá Apache cũ hơn so với 1.3.11 giải quyết các sự cố đã biết trong phiên bản Apache đó

Trang Ví dụ mã hóa âÃÂâ, mô tả cách mã hóa đúng đầu ra của bạn để bảo vệ khỏi sự cố này bằng cách sử dụng các công nghệ phổ biến liên quan đến Apache, chẳng hạn như mô-đun Apache, Perl và PHP

Chúng tôi không mong đợi đây là từ cuối cùng về các phương pháp khai thác vấn đề này. Có khả năng sẽ có nhiều thay đổi hơn đối với Apache trong tương lai để giúp người dùng giải quyết vấn đề này, ngay cả khi không tìm thấy thêm lỗi nào trong chính Apache. Mặc dù chúng tôi cung cấp hầu hết các thông tin cần thiết để các trang web tự bảo vệ mình trước kiểu tấn công này, nhưng vẫn còn nhiều vấn đề mở liên quan đến vấn đề này

Chúng tôi nhận thấy rằng đây là một vấn đề phức tạp và mong muốn cập nhật các trang này để mô tả các vấn đề và cách khắc phục sâu hơn khi thời gian cho phép

Tại sao tên "Cross Site Scripting"?

Vấn đề này không chỉ là về kịch bản và không nhất thiết phải có bất kỳ trang web chéo nào về vấn đề này. Vậy tại sao tên? Nó đã được đặt ra sớm hơn khi vấn đề còn chưa được hiểu rõ và nó đã bị mắc kẹt. Tin tôi đi, chúng tôi còn nhiều việc quan trọng phải làm hơn là nghĩ ra một cái tên hay hơn.


Bạn có thể gửi bất kỳ nhận xét hoặc đề xuất nào về bộ trang này tới [email protected]. Lưu ý rằng tôi không thể trả lời các câu hỏi hoặc yêu cầu hỗ trợ, vì vậy nếu đó là những gì bạn sắp gửi thì vui lòng tiết kiệm công sức cho mình.