Scripting errori di sviluppo spesso lasciate intrusi di ottenere accesso non autorizzato ai siti Web. Entrano attraverso gli ID di sessione di URL non valido e intercettando gli input dell'utente, dove possono essere leggere sessioni di cookie del client. Componenti di scripting stranieri eseguito browser inviati all'interno di una fonte attendibile sono un altro modo gli aggressori fare buon uso delle vulnerabilità di codifica web. Per ridurre le vulnerabilità, è necessario utilizzare un approccio strategico che implementa una varietà di metodi.

Istruzioni

1

Rifiutare un link o un host se il campo di referer HTTP nel form inviati dall'utente o collegamento non corrisponde all'URL di origine.

2

Limitare la lunghezza massima delle stringhe fornite dall'utente. Troncare le risposte che superano la lunghezza massima di risposta. Verifica di stringhe a lato server sia lato client.

3

Vietare < OBJECT >, < EMBED > e < SCRIPT > contenuti da sottoporre. Rimuovere tutti i campi "getURL ()" che contengono riferimenti di fuori dell'applicazione corrente. Utilizzare "HTTP POST" invece di "HTTP GET" per impedire agli aggressori di inviare URL con codice non valido.

4

Controllare e filtrare i cookie persistenti prima di metterli in documenti HTML; in caso contrario, cookies persistenti, che memorizzano le informazioni utente, può essere facilmente modificato dagli aggressori.

5

Controllare e ridurre il timeout di ID di sessione in modo che un utente malintenzionato non avrà tempo per scoprire i difetti CSS. In questo modo, un ID di sessione valido deve essere utilizzato per il rientro. L'ID di sessione dovrebbe essere limitato all'inizio o alla pagina iniziale del sito. Un reindirizzamento automatico all'inizio o alla pagina iniziale dovrebbe portare da un utente malintenzionato che tenta di entrare attraverso un'altra pagina.

6

Gestire i caratteri speciali in modo diverso dalla codifica l'output. Ad esempio, se un invio di dati client è complesso, è necessario codificare i risultati inviati al client. Il tag HTML di inizio "<" potrebbe essere codificato come "& lt," per esempio. Questo sembrerebbe come il tag di inizio per l'utente, non all'applicazione client.

7

Utilizzare i filtri di Input positivo. Ridurre il rischio di includere caratteri che possono essere sfruttate filtrando costantemente da un set di caratteri che sono noti per essere sicuro. Prendere un campo modulo per età di un utente, ad esempio. Il set di caratteri dovrebbe essere limitato a cifre da 0 a 9. Altre lettere o caratteri speciali non devono essere accettati. Le cifre rappresentano un sicuro insieme di numeri in positivo di filtraggio per il campo modulo.

8

Utilizzare il filtro di uscita per inviare i dati di risultati per i caratteri speciali dall'applicazione lato server prima di inviarlo al browser web sul lato client. Contenuto che non era filtrato può essere conservato dai processi di sistema, o altre applicazioni potrebbero sono state aggiunte da un utente. Questo è particolarmente vero se i dati sono stati recuperati da un database o un formato di archiviazione.

Consigli & Avvertenze

• Prestare attenzione quando si utilizza il filtro di uscita. Filtro prematura del codice HTML "<" meno di e ">" maggiore di tag potrebbe rendere illeggibile documenti client. Che il metodo funziona meglio quando il filtraggio del carattere speciale è limitato all'utente forniti dati che sono stati precedentemente memorizzati nel database.