- بواسطة x32x01 ||
كيف أحمي نفسي من ثغرات الـ XSS ؟
تأكد من انك تستخدم آخر تحديث من متصفح الإنترنت مع تفعيل كافة خيارات الحماية المتعلقة به مثل XSS Filter وغيرها. اذا كنت تستخدم متصفح لا يدعم خيار مثل هذا (FireFox) فيُنصح بإستخدام اضافة NoScript التي تعمل كحماية فعالة ضد هجمات من نوع XSS.
كن حذرا جدا عندما تظغط على رابط معين. بعض الروابط لا تبدوا خطيرة مبدئيا لكنها تحتوي على كود خبيث او غستغلال لثغرة XSS.
قم دائما بتسجيل خروجك بعد ان تنتهي من العمل على برنامج ويب معين (Sign Out)
أنا مبرمج ، كيف أحمي برنامجي من ثغرات الـ XSS ؟
يتم إستغلال ثغرات XSS عندما لا يتم فحص مدخلات البرنامج بعناية.
على سبيل المثال عندما يقوم المستخدم بكتابة إسمه (إسمها) في البرنامج ثم يقوم البرنامج بإظهار الإسم بدون فحص فماذا سيحدث عندما يتم إدخال إسم مستخدم بلغة برمجة HTML مثلا؟ لن يٌفرق المتصفح بين إسم المستخدم وبقية كود الصفحة وسيتعامل معه على انه كود في الصفحة مثله مثل باقي السطور، أي انه سيتم تنفيذ الأوامر التي أدخلها المستخدم بدون اي مشكلة!
قم بفحص المدخلات في البرنامج، وذلك بتطهير المدخلات من اي كود خبيث او محاولة لحقن كود في المدخلات. إذا كان نوع المدخلات أرقاما فقط فلا تقم بالسماح للحروف بالمرور عبر البرنامج. إستخدم القوائم البيضاء في ذلك اي انه يتم مقارنة المدخلات بقائمة المدخلات المسموحة فقط ويتم رفض المدخلات التي لا تكون في تلك القائمة.
تأكد بأن ترميز الحروف في الصفحة هو الذي يتطلبه برنامج (Character Encoding). في حالة الترميز صحيح سيتعرف المتصفح ما اذا كانت الحروف التي يتم عرضها يرمز اليها بشكل معين او لا. أي انك لن تدع للمصفح الإختيار اذ انه في بعض الحالات يتم إسغلال هذه الخاصية في المتصفحات لمهاجمة ثغرات XSS او تخطي الحماية المتعلقة بها.
قم بفحص برنامجك والكشف عن ثغرات الـ XSS بإستخدام برامج متخصصه في ذلك مثل برنامج المشروع المشهور OWASP المسمى بـ OWASP Zap (مفتوح المصدر ومجاني أيضا)
قم دائما بتفعيل خيار الـ HTTPOnly عندما تسجل حالة البرنامج من خلال الـ Cookies. هذا سينبه المتصفح لكي لايسمح لكود السكربت بقراءة الـCookies وبالتالي منع سرقتها او استغلالها لتقنص شخصية ثانية.
يوجد خاصية في بروتوكول HTTP تسمى قانون المحتوى الأمني CSP والذي يقوم بتخصيص اي من الجزاء المسموح فيها لمتصفح ان يقوم بتنفيذ اوامر كود السكربت في الصفحة. (يتسخدم طريقة القوائم البيضاء في ذلك!)
في النهاية لماذا لا تقوم بتنصيب جدار حماية ناري متخصص لبرامج الويب WAF. هذا سيكون بمثابة طبقة حماية اضافية تحمي من إستغلال ثغرات XSS في برنامجك. يوجد العديد من البرامج المتخصصة في ذلك بما فيهم mod Security. هذه البرنامج يجب أن تستخدم كحلقة اضافية فقط ولا يجب الإعتماد عليها إذ انه يتم إستكشاف طرق لتخطيها دائما.
تأكد من انك تستخدم آخر تحديث من متصفح الإنترنت مع تفعيل كافة خيارات الحماية المتعلقة به مثل XSS Filter وغيرها. اذا كنت تستخدم متصفح لا يدعم خيار مثل هذا (FireFox) فيُنصح بإستخدام اضافة NoScript التي تعمل كحماية فعالة ضد هجمات من نوع XSS.
كن حذرا جدا عندما تظغط على رابط معين. بعض الروابط لا تبدوا خطيرة مبدئيا لكنها تحتوي على كود خبيث او غستغلال لثغرة XSS.
قم دائما بتسجيل خروجك بعد ان تنتهي من العمل على برنامج ويب معين (Sign Out)
أنا مبرمج ، كيف أحمي برنامجي من ثغرات الـ XSS ؟
يتم إستغلال ثغرات XSS عندما لا يتم فحص مدخلات البرنامج بعناية.
على سبيل المثال عندما يقوم المستخدم بكتابة إسمه (إسمها) في البرنامج ثم يقوم البرنامج بإظهار الإسم بدون فحص فماذا سيحدث عندما يتم إدخال إسم مستخدم بلغة برمجة HTML مثلا؟ لن يٌفرق المتصفح بين إسم المستخدم وبقية كود الصفحة وسيتعامل معه على انه كود في الصفحة مثله مثل باقي السطور، أي انه سيتم تنفيذ الأوامر التي أدخلها المستخدم بدون اي مشكلة!
قم بفحص المدخلات في البرنامج، وذلك بتطهير المدخلات من اي كود خبيث او محاولة لحقن كود في المدخلات. إذا كان نوع المدخلات أرقاما فقط فلا تقم بالسماح للحروف بالمرور عبر البرنامج. إستخدم القوائم البيضاء في ذلك اي انه يتم مقارنة المدخلات بقائمة المدخلات المسموحة فقط ويتم رفض المدخلات التي لا تكون في تلك القائمة.
تأكد بأن ترميز الحروف في الصفحة هو الذي يتطلبه برنامج (Character Encoding). في حالة الترميز صحيح سيتعرف المتصفح ما اذا كانت الحروف التي يتم عرضها يرمز اليها بشكل معين او لا. أي انك لن تدع للمصفح الإختيار اذ انه في بعض الحالات يتم إسغلال هذه الخاصية في المتصفحات لمهاجمة ثغرات XSS او تخطي الحماية المتعلقة بها.
قم بفحص برنامجك والكشف عن ثغرات الـ XSS بإستخدام برامج متخصصه في ذلك مثل برنامج المشروع المشهور OWASP المسمى بـ OWASP Zap (مفتوح المصدر ومجاني أيضا)
قم دائما بتفعيل خيار الـ HTTPOnly عندما تسجل حالة البرنامج من خلال الـ Cookies. هذا سينبه المتصفح لكي لايسمح لكود السكربت بقراءة الـCookies وبالتالي منع سرقتها او استغلالها لتقنص شخصية ثانية.
يوجد خاصية في بروتوكول HTTP تسمى قانون المحتوى الأمني CSP والذي يقوم بتخصيص اي من الجزاء المسموح فيها لمتصفح ان يقوم بتنفيذ اوامر كود السكربت في الصفحة. (يتسخدم طريقة القوائم البيضاء في ذلك!)
في النهاية لماذا لا تقوم بتنصيب جدار حماية ناري متخصص لبرامج الويب WAF. هذا سيكون بمثابة طبقة حماية اضافية تحمي من إستغلال ثغرات XSS في برنامجك. يوجد العديد من البرامج المتخصصة في ذلك بما فيهم mod Security. هذه البرنامج يجب أن تستخدم كحلقة اضافية فقط ولا يجب الإعتماد عليها إذ انه يتم إستكشاف طرق لتخطيها دائما.