Les attaques par génération de scripts intersites (XSS) consistent à insérer des scripts malveillants dans des sites Web normalement fiables. Les attaquants XSS utilisent une application Web pour envoyer du code malveillant, généralement sous forme de script côté navigateur, à un utilisateur final. Ces attaques sont fructueuses lorsqu'une application Web inclut des données saisies par l'utilisateur dans les résultats, sans validation ni codage préalable des données d'entrée.
Le navigateur de l'utilisateur exécute le script, qu'il ne détecte pas comme étant malveillant. Il pense que le script provient d'une source fiable, c'est pourquoi il lui donne accès aux cookies, aux jetons de session ou à d'autres informations sensibles. Ces scripts peuvent même réécrire le contenu de la page HTML.
Pour résoudre la vulnérabilité XSS, toute entrée fournie par l'utilisateur renvoyée au navigateur doit être vérifiée (par validation des données d'entrée). De plus, les données saisies par l'utilisateur doivent être échappées avant d'être incluses dans la page de sortie. Le codage de sortie approprié assure le traitement systématique des données saisies par l'utilisateur comme texte dans le navigateur, et non pas comme contenu actif pouvant être exécuté.
Dans cette version, CA Clarity PPM valide les données saisies par l'utilisateur pour XSS. De plus, cette version fournit de nouvelles options d'administration qui permettent d'activer ou de désactiver les restrictions XSS (échappement). Pour plus d'informations sur ces options d'administration, reportez-vous au Manuel d'installation.
|
Copyright © 2014 CA Technologies.
Tous droits réservés.
|
|