A helyek közötti parancsprogramokkal (XSS) kártékony parancsprogramok helyezhetők el egyébként megbízható webhelyeken. Az XSS-támadó egy webalkalmazáson keresztül kártékony, általában böngészőoldali parancsprogram formáját öltő kódot küldhet a végfelhasználónak. Ezek a támadások akkor sikeresek, ha a webalkalmazás által előállított kimenetben olyan felhasználói adatok szerepelnek, amelyek előzetesen nincsenek ellenőrizve vagy kódolva.
A felhasználó böngészője nem tudja, hogy a parancsprogram kártékony, ezért végrehajtja. Mivel a böngésző szerint a parancsprogram megbízható forrásból származik, a kártékony kód hozzáférhet a cookie-khoz, a munkamenettokenekhez és más érzékeny adatokhoz. Ezek a parancsprogramok akár a HTML-oldal tartalmát is átírhatják.
Az XSS sérülékenységének kivédése érdekében minden böngészőnek visszaküldött felhasználói bemenet biztonságosságát ellenőrizni kell a bemenet validálásával. Ezenkívül a felhasználói bemenetet megfelelő escape kódokkal kell ellátni, mielőtt a kimeneti oldalba illesztenék. A kimenet megfelelő kódolása gondoskodik arról, hogy a felhasználói bemenet mindig szövegként, ne pedig végrehajtható aktív tartalomként legyen kezelve a böngészőben.
A CA Clarity PPM jelenlegi kiadása már megvizsgálja a felhasználói bemenetet az XSS sérülékenysége szempontjából. Ez a kiadás továbbá új rendszergazdai beállításokat biztosít, amelyekkel be- és kikapcsolhatók az XSS-korlátozások (escape kódolás). A rendszergazdai beállítások használatával kapcsolatos tudnivalók a Telepítési útmutatóban olvashatók.
|
Copyright © 2014 CA Technologies.
Minden jog fenntartva.
|
|