17-01-2012, 07:46
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
באתר סטטי (כלומר שפלט הדפים ללקוח אינו מבוסס בשום צורה על מידע שמגיע מהלקוח), אין משמעות ל XSS... לא משנה מה תוקף ידחוף לנתקף, השרת לא יתייחס לזה, ובוודאי שכשאתר סטטי, גם לא יוכנס קוד מהתוקף כדי שיפגע במידע המוצג, כי אין בכלל קוד תשתיתי שיאפשר דבר כזה. כמובן, שפריצה לשרת עצמו, בגלל באג בתוכנת השרת, במערכת ההפעלה, או באתר אחר, כן דינאמי, שרץ על אותו שרת, זה עניין אחר...
ב"פרצות אבטחה" רצוי לטפל ברמת הקוד: הטיפול הוא פשוט לכתוב קוד נכון, שלעולם לא פולט קלט ממשתמש [או מכל מקור אחר שהוא לא משהו שהמתכנת עצמו כתב ויודע לצפות מה יגיע משם] בתור משהו שעלול להיות מבוצע על ידי הדפדפן. ע"ע htmlentities() ב PHP, וכמובן escaping לפני הכנסה ל DB. בלי קוד מקולקל, אין את מה לתקוף...
ברמת השרת עצמו, יש כל מיני מודולים, בשרתים שונים, שעל פי יוריסטיקה מסויימת, מחליטים לחסום דברים מסויימים. החסרונות של זה: זה לא מושלם (ואין דבר יותר גרוע בא"מ מאשר false sense of security...), וזה לא רק לא מושלם בזה שזה לא תופס הכל... אלא לפעמים זה גם "תופס" דברים לגיטימיים לחלוטין, ואז גישה של אנשים, שאמורה להיות בסדר גמור, לעתים נחסמת. ע"ע http://www.modsecurity.org
|