Sīkdatnes no uzbrukumiem XSS aizsardzības
Vēl joprojām atceros trīs tehniskās sesijas nolaupīšana? Prognozēt, sagūstīt, fiksēt sesijas sīkdatnes. Nu, vienu metodi, lai attēlotu cookie XSS (cross site skriptu), injicējot skriptu upura pārlūku, tad skripts lasīt un nosūtīt sīkdatnes, lai uzbrucēju serveri. Skripts lasīt cookie ar document.cookie kas bija sagatavoti, lai skripts var manipulēt pārlūkā sīkfailu klienta pusē.
Kā aizsargāt sīkdatnes no zādzības gadījumā XSS uzbrukumiem? Patiešām izstrādātājiem jācenšas nodrošināt, ka neviens XSS bugs šajā tīmekļa lietojumprogrammas, bet tas nebija viegli novērst XSS. Ir tik daudz variantus, rakstot tagus / script, kas ļauj injekcijas skriptu. Ja visi html tagi nav atļauts prasības pieteikumā, tas ir viegli
novērst XSS. Bet, ja izstrādātāji ir situācijā, kur ir html tagus drīkst un ko nedrīkst, tas ir sarežģīts un bieži vien izstrādātāji izredzes.
Patiesībā ir karogi no sīkfailu, ja to izmanto palīdzēs novērst zādzības sīkfailu, ja ir XSS caurumu. Šāds karogs ir httpOnly un droša. Kad cepumi tika dota karogi httponly / droša, tad javascript nevarēs piekļūt cookies izmantojot document.cookie. Bet šis karogs neliedz XSS, šis karogs tikai palīdz aizsargāt
sīkfailus. Atcerieties, ir daudzi citi uzbrukumi, ko var izdarīt ar XSS, un vēl bīstamākas nekā zagt cepumi. Tāpēc attīstītāji joprojām ir jābūt uzmanīgiem, pirms izlikšana kaut ko par pārlūku klientu. Šis karogs ir tiešām ļoti noderīgs, bet diemžēl reti lieto, jo šī karoga, var būt nepopulāra, un nav daudz izstrādātāji, kuri zina.
Uzziniet vairāk par httponly un drošu karogi, lūdzu, lasīt:
http://www.ilmuhacking.com/web-security/protecting-cookie-from-xss-using-httponly-secure-flag/
Komentēt