Siteler Arası Komut Dizisi (XSS) saldırıları, güvenilen web sitelerine zararlı komut dosyaları ekler. Bir XSS saldırısı, son kullanıcıya genellikle tarayıcı tarafı komut dizisi biçiminde zararlı kod göndermek için bir web uygulamasını kullanır. Bir web uygulaması, giriş verilerini doğrulamadan veya kodlamadan oluşturulan çıkış verilerinde yer alan kullanıcı giriş verilerini içeriyorsa bu saldırılar başarılı olur.
Kullanıcı tarayıcısı, komut dizisinin zararlı olduğunu algılayamaz ve komut dizisini yürütür. Tarayıcı, komut dizisinin güvenilen bir kaynaktan geldiğini düşündüğü için zararlı kod dizisi, tanılama bilgilerine, oturum belirteçlerine ve diğer hassas bilgilere erişebilir. Bu komut dizileri HTML sayfasının içeriğini yeniden yazabilir.
XSS güvenlik açığını belirlemek için, tarayıcıya geri gönderilen ve kullanıcı tarafından sağlanan tüm girişlerin güvenli olduğu, giriş doğrulama ile doğrulanmalıdır. Ayrıca kullanıcı girişi, çıkış sayfasına eklenmeden önce doğru bir şekilde atlanmalıdır. Doğru çıkış kodlama işlemi, kullanıcı girişinin, her zaman yürütülebilen etkin bir içerik yerine tarayıcıdaki bir metin olarak işlem görmesini sağlar.
CA Clarity PPM bu sürümde, XSS için kullanıcı girişi doğrulama işlemini gerçekleştirir. Ayrıca bu sürümde, XSS kısıtlamalarını (atlama) açıp kapatmanıza olanak sağlayan yeni yönetim seçenekleri sunulmuştur. Bu yönetim seçeneklerini kullanma hakkında bilgi edinmek için bkz. Kurulum Kılavuzu.
|
Telif Hakkı © 2014 CA Technologies.
Tüm hakları saklıdır.
|
|