Tietoturva nyt!

28.3.2008

Cross site scripting -haavoittuvuudet

Käyttäjän suojautuminen

Hyökkäyksissä käytettävä ohjelmakoodi on yleensä JavaScriptiä, joten käyttäjä voi suojautua niiltä kieltämällä kokonaan JavaScriptin suorittamisen selaimessa. JavaScriptin estäminen voi kuitenkin myös häiritä tai estää joidenkin sivustojen selailua. Usein hyökkäyksen voi tunnistaa tutkimalla linkin takana olevan URL-osoitteen muotoa, mutta hyökkääjä voi myös pyrkiä piilottamaan hyökkäyksen muotoilemalla osoitteen siten, ettei komentojen tai ulkoisten osoitteiden havaitseminen ole helppoa. Vihamielisiä syötteitä URL-osoitteissa voi välttää siten, että siirtyy sivustolle vain puhtaaksi tunnetun osoitteen, kuten vaikkapa palvelun oman etusivun kautta, tai syöttää osoitteen kokonaan itse.

Palvelimen suojaaminen

Sivustojen ja www-palvelimen tulisi aina tarkistaa huolellisesti käyttäjältä tulevat syötteet. Tämä koskee sekä palvelimelle syötettäviä URL-osoitteita että sivujen kautta syötettäviä tietoja. Pelkästään tiettyjen merkkien tai merkkiyhdistelmien suodattamista ei voi pitää riittävänä, sillä tällaisen suodatuksen voi useimmiten kiertää.

Myös palvelimen käyttäjälle tulostamien sivujen oikeellisuus olisi syytä tarkistaa. Sivujen tulisi olla ehjää HTML- tai XML-sisältöä ja sivuilla käytettävän merkistökoodauksen mukaista. Sisällön tarkistamiseen ja vihamielisen sisällön suodattamiseen on olemassa työkaluja eri www-palvelinohjelmistoja ja ohjelmointiympäristöjä varten.

Lisätietoa

• http://www.owasp.org/index.php/Top_10_2007-A1
• http://www.owasp.org/index.php/Cross_Site_Scripting
• http://www.cert.org/advisories/CA-2000-02.html
• http://en.wikipedia.org/wiki/Cross-site_scripting
• http://msdn2.microsoft.com/en-us/library/ms998274.aspx