La generación de scripts de sitios (XSS) ataca los scripts maliciosos insertados en sitios web que serían de confianza. Un atacante de XSS utiliza una aplicación web para enviar código malicioso, generalmente en forma de un script de lado de explorador, a un usuario final. Estos ataques se realizan correctamente cuando una aplicación web incluye datos de entrada de usuario en el resultado que genera sin validar ni codificar primero los datos de entrada.
El explorador del usuario no sabe que el script es malicioso y ejecuta el script. Como el explorador cree que el script procede de un origen de confianza, el script malicioso puede acceder a cookies, tókenes de sesión u otra información confidencial. Estos scripts pueden reescribir incluso el contenido de la página HTML.
Para abordar la vulnerabilidad de XSS, se debería verificar la seguridad de todos los datos introducidos por el usuario que se devuelve al explorador (mediante la validación de los datos introducidos). Además, los datos introducidos por el usuario deberían escaparse correctamente antes de que se incluyan en la página de resultado. Una codificación del resultado apropiada garantiza que los datos introducidos por el usuario se traten siempre como texto en el explorador, en lugar de como contenido activo que se puede ejecutar.
Con esta versión, CA Clarity PPM realiza la validación de los datos introducidos por el usuario para XSS. También proporciona nuevas opciones administrativas que le permiten activar o desactivar las restricciones de XSS (escape). Para obtener más información sobre cómo utilizar estas opciones administrativas, consulte la Guía de instalación.
|
Copyright © 2014 CA Technologies.
Todos los derechos reservados.
|
|