CheatSheetSeries в master · OWASPCheatSheetSeries · GitHub

Шпаргалка для запобігання сценаріям між сайтами

У цій статті подано просту позитивну модель для запобігання XSS за допомогою правильного кодування вихідних даних. Хоча існує величезна кількість векторів атак XSS, дотримання декількох простих правил може повністю захистити від цієї серйозної атаки.

У цій статті не розглядається технічний чи діловий вплив XSS. Досить сказати, що це може призвести до того, що зловмисник отримає можливість робити все, що може зробити жертва через свій браузер.

Як до відображеного, так і до збереженого XSS можна звернутися, виконавши відповідну перевірку та кодування на стороні сервера. До XSS, що базується на DOM, можна звертатися за допомогою спеціального підмножини правил, описаних у шпаргалці щодо запобігання XSS на основі DOM.

Щоб отримати шпаргалку щодо векторів атак, пов’язаних із XSS, зверніться до шпаргалки для ухилення від фільтру XSS. Більше інформації про безпеку браузера та різні браузери можна знайти в Довіднику з безпеки браузера.

Перш ніж читати цю шпаргалку, важливо глибоко зрозуміти теорію ін'єкцій.

Позитивна модель запобігання XSS

Ця стаття розглядає HTML-сторінку як шаблон, із слотами, куди розробнику дозволяється розміщувати ненадійні дані. Ці слоти охоплюють переважну більшість загальних місць, де розробник може захотіти розмістити ненадійні дані. Не дозволяється розміщувати ненадійні дані в інших місцях HTML. Це модель "білого списку", яка заперечує все, що спеціально не дозволено.

З огляду на те, як браузери аналізують HTML, кожен з різних типів слотів має дещо різні правила безпеки. Коли ви розміщуєте ненадійні дані в ці слоти, вам потрібно вжити певних кроків, щоб переконатися, що дані не пробиваються з цього слоту в контекст, що дозволяє виконувати код. Певним чином, цей підхід розглядає документ HTML як параметризований запит до бази даних - дані зберігаються в певних місцях і ізольовані від контекстів коду за допомогою кодування.

У цьому документі викладено найпоширеніші типи слотів та правила безпечного зберігання в них ненадійних даних. На основі різних специфікацій, відомих векторів XSS та великої кількості ручного тестування з усіма популярними браузерами ми визначили, що запропоновані тут правила безпечні.

Слоти визначені та надано кілька прикладів кожного з них. Розробники НЕ СЛІД розміщувати дані в будь-яких інших слотах без дуже ретельного аналізу, щоб переконатися, що те, що вони роблять, безпечно. Розбір браузера надзвичайно складний, і багато нешкідливих персонажів можуть бути важливими у правильному контексті.

Чому я не можу просто кодувати сутність HTML ненадійними даними

Кодування HTML-сутності добре для ненадійних даних, які ви вводите в тіло документа HTML, наприклад всередині

ПРАВИЛО № 3.1 - HTML Кодування значень JSON у контексті HTML та зчитування даних за допомогою JSON.parse

У світі Веб 2.0 необхідна наявність даних, які динамічно генеруються додатком у контексті JavaScript, є загальним явищем. Одна з стратегій - зробити виклик AJAX, щоб отримати значення, але це не завжди ефективно. Часто початковий блок JSON завантажується на сторінку, щоб діяти як одне місце для зберігання декількох значень. Ці дані хитро, хоча і неможливо, правильно закодувати/захистити, не порушуючи формат і зміст значень.

Переконайтеся, що повернутий заголовок Content-Type - application/json, а не text/html . Це зобов'язує браузер не розуміти контекст і виконувати вбудований скрипт

Неправильна відповідь HTTP:

Хороша відповідь HTTP:

Загальний анти-візерунок можна було б побачити:

Наступні фрагменти HTML демонструють, як безпечно відображати ненадійні дані в різних контекстах.

Безпечні атрибути HTML включають: вирівнювання, посилання, alt, bgcolor, межа, заповнення комірок, розміщення комірок, клас, колір, cols, colspan, coords, dir, face, height, hspace, ismap, lang, marginheight, marginwidth, multiple, nohref, noresize, noshade, nowrap, ref, rel, rev, рядки, інтервал рядків, прокрутка, форма, проміжок, зведення, tabindex, заголовок, карта використання, valign, значення, vlink, vspace, ширина .

Підсумок правил кодування вихідних даних

Призначення кодування вихідних даних (оскільки воно стосується міжсайтових сценаріїв) полягає у перетворенні ненадійного вводу в безпечну форму, де вхідні дані відображаються як даних для користувача, не виконуючи як код у браузері. Наступні діаграми детально описують перелік критичних методів кодування вихідних даних, необхідних для зупинки міжсайтових сценаріїв.

Механізм кодування типу кодування

Кодування сутності HTML	Перетворити & в &, Перетворити в, Перетворити> в>, Перетворити "на", Перетворити 'на', Перетворити/на /
Кодування атрибутів HTML	За винятком буквено-цифрових символів, кодуйте всі символи за допомогою сутності HTML &#xHH; формат, включаючи пробіли. (HH = Шістнадцяткове значення)
Кодування URL	Стандартне відсоткове кодування, дивіться тут. Кодування URL-адреси слід використовувати лише для кодування значень параметрів, а не всієї URL-адреси або фрагментів шляху URL-адреси.
Кодування JavaScript	За винятком буквено-цифрових символів, кодуйте всі символи у форматі кодування Unicode \ uXXXX (X = Ціле число).
Шістнадцяткове кодування CSS	Кодування CSS підтримує \ XX та \ XXXXXX. Використання двосимвольного кодування може спричинити проблеми, якщо наступний символ продовжить послідовність кодування. Є два рішення (a) Додайте пробіл після кодування CSS (буде проігноровано синтаксичним аналізатором CSS) (b) використовувати повну кількість кодування CSS, можливо, нульовим відступом значення.

XSS Attack шпаргалка:

У наступній статті описано, як використовувати різні види вразливостей XSS, створені в цій статті, щоб допомогти вам уникнути:

Опис вразливостей XSS:

Стаття OWASP про вразливості XSS.

Обговорення типів уразливостей XSS:

Як переглянути код для уразливостей міжсайтових сценаріїв:

Як перевірити вразливості міжсайтових сценаріїв: