Ataques de scripts entre sites (XSS) inserem scripts mal-intencionados em sites considerados confiáveis. Um invasor XSS usa um aplicativo web para enviar códigos mal-intencionados a um usuário final, geralmente, como um script de navegador. Esses ataques têm êxito quando um aplicativo web inclui os dados de entrada do usuário na saída que ele gera, sem validar ou codificar os dados de entrada.
O navegador do usuário não sabe que o script é mal-intencionado e o executa. Como o navegador acha que ele é proveniente de uma fonte confiável, o script mal-intencionado pode acessar cookies, tokens ou outras informações confidenciais. Esses scripts podem até mesmo reescrever o conteúdo da página HTML.
Para resolver a vulnerabilidade de XSS, é preciso verificar se todos os dados de entrada fornecidos pelo usuário que são enviados ao navegador são seguros (por meio de validação de entrada). Além disso, a entrada do usuário deve ter escape adequado antes de sua inclusão na página de saída. Uma codificação de saída apropriada garante que os dados inseridos pelo usuário sejam sempre tratados como texto no navegador em vez de como conteúdo ativo que pode ser executado.
Com esta release, o CA Clarity PPM executa validação da entrada do usuário para o XSS. Além disso, esta release fornece novas opções administrativas que permitem ativar ou desativar as restrições de XSS. Para obter informações sobre como usar essas opções administrativas, consulte o Guia de Instalação.
|
Copyright © 2014 CA Technologies.
Todos os direitos reservados.
|
|