XSS-attacker attackerar skadliga skript på annars betrodda webbplatser. En XSS-attack använder ett webbprogram för att skicka skadlig kod, vanligtvis i form av en webbläsarsidskript, till en slutanvändare. Dessa attacker lyckas när ett webbprogram inkluderar användardata i utdata som den genererar utan att först validera eller koda indata.
Användarens webbläsare vet inte att skriptet är skadligt och kör skriptet. Eftersom webbläsaren tror att skriptet kommer från en betrodd källa kan det skadliga skriptet komma åt cookies, sessionstokens eller annan känslig information. Dessa skript kan även skriva om innehållet på en HTML-sida.
För att bota XSS-sårbarhet ska alla användarindata som skickas tillbaka till webbläsaren verifieras som säkra (via indatavalidering). Dessutom bör användarindata korrekt kommenteras bort innan de inkluderas på en utdatasida. Korrekt utdatakodning ser till att användarindata alltid hanteras som text i webbläsaren, i stället för aktivt innehåll som kan köras.
I denna version utför CA Clarity PPM indatavalidering för XSS. Denna version har även nya administrationsalternativ som gör att du kan aktivera eller inaktivera XSS-begränsningar (bortkommentering). Mer information om dessa administrationsalternativ finns i tillhörande Installationshandbok.
|
Copyright © 2014 CA Technologies.
Med ensamrätt.
|
|