Angriffe auf standortübergreifende Skripterstellung (XSS) fügen bösartige Skripte in ansonsten vertrauenswürdige Webseiten ein. Ein XSS-Angreifer verwendet eine Webanwendung, um bösartigen Code an einen Endbenutzer zu senden, im Allgemeinen in Form eines Browserseitenskripts. Diese Angriffe sind erfolgreich, wenn eine Webanwendung Benutzereingabedaten in die generierte Ausgabe einschließt, ohne zuerst die Eingabedaten zu validieren oder zu verschlüsseln.
Der Benutzerbrowser weiß nicht, dass das Skript bösartig ist, und führt das Skript aus. Weil der Browser glaubt, dass das Skript von einer vertrauenswürdigen Quelle kam, kann das bösartige Skript auf Cookies, Sitzungs-Token oder andere vertrauliche Informationen zugreifen. Diese Skripte können sogar den Inhalt der HTML-Seite neu schreiben.
Um die XSS-Schwachstelle abzudecken, sollte jede Benutzereingabe, die an den Browser zurückgeschickt wird, zur Absicherung überprüft werden (durch Eingabevalidierung). Auch sollten Benutzereingaben richtig geschützt werden, bevor sie in die Ausgabeseite eingeschlossen werden. Ordnungsgemäße Ausgabeverschlüsselung stellt sicher, dass die Benutzereingabe immer als Text im Browser behandelt wird, nicht als aktiver Inhalt, der ausgeführt werden kann.
Ab dieser Version führt CA Clarity PPM Benutzereingabevalidierung für XSS aus. Außerdem gibt diese Version neue administrative Optionen an, die Ihnen erlauben, die XSS-Einschränkungen (geschützt) an- oder auszuschalten. Informationen zur Verwendung dieser administrativen Optionen finden Sie im Installationshandbuch.
|
Copyright © 2014 CA Technologies.
Alle Rechte vorbehalten.
|
|