XSS हमलों से php अनुप्रयोगों की सुरक्षा के लिए सर्वोत्तम अभ्यास और सिफारिशें

XSS हमलों से php अनुप्रयोगों की सुरक्षा के लिए सर्वोत्तम अभ्यास और सिफारिशें

एक कार्यशील वेब एप्लिकेशन बनाना केवल आधी लड़ाई है। आधुनिक ऑनलाइन सेवाओं और वेब एप्लिकेशन, अपनी सामग्री के अलावा, उपयोगकर्ता डेटा को स्टोर करते हैं। इस डेटा की सुरक्षा विश्वसनीयता और सुरक्षा के संदर्भ में सही ढंग से लिखे गए कोड पर निर्भर करती है।



अधिकांश कमजोरियां बाहर से प्राप्त डेटा के अनुचित प्रसंस्करण, या उनके अपर्याप्त सख्त सत्यापन से जुड़ी हैं। इस तरह की कमजोरियों में से एक क्रॉस-साइट स्क्रिप्टिंग (क्रॉस साइट स्कैटरिंग, XSS) है, जो वेबसाइट की विफलता का कारण बन सकता है, एक संक्रमित संसाधन के लिए एक उपयोगकर्ता का पुनर्निर्देशन, एक वेब संसाधन में दुर्भावनापूर्ण कोड का सम्मिलन, कुकीज़ की चोरी, सत्र और अन्य जानकारी। सुरक्षित प्रोग्रामिंग के लिए सर्वोत्तम प्रथाओं और सिफारिशों का उपयोग, जो नीचे चर्चा की जाएगी, XSS को अपनी ताकत से विरोध करने में मदद करेगा।

सर्वोत्तम अभ्यास और सिफारिशें:

1. इनपुट / आउटपुट परिरक्षण का उपयोग करें। दुर्भावनापूर्ण स्क्रिप्ट से कोड को साफ करने के लिए अंतर्निहित कार्यों का उपयोग करें। इनमें htmlspecialchar (), htmlentities (), और strip_tags () जैसे फ़ंक्शन शामिल हैं।
उपयोग के उदाहरण:

$name = strip_tags($_POST['name']); $name = htmlentities($_POST['name'], ENT_QUOTES, "UTF-8"); $name = htmlspecialchars($_POST['name'], ENT_QUOTES); 

PHP में अंतर्निहित कार्य, स्व-निहित लोगों के विपरीत, बहुत तेजी से काम करते हैं और सुरक्षा त्रुटियों और कमजोरियों के रूप में भी कम होते हैं लगातार सुधार। अंतर्निहित कार्यों और फिल्टर के आधार पर विशेष पुस्तकालयों का उपयोग करने की भी सिफारिश की जाती है। उदाहरणों में OWASP एंटरप्राइज सिक्योरिटी एपीआई (ESAPI), HTML प्यूरिफायर, रिफॉर्म, मोडसिटी शामिल हैं।
पुस्तकालय को सही ढंग से काम करने के लिए, इसे पहले कॉन्फ़िगर किया जाना चाहिए!

2. श्वेतसूची दृष्टिकोण का उपयोग करें। दृष्टिकोण इस सिद्धांत पर काम करता है कि "जो अनुमति नहीं है वह निषिद्ध है"। यह सभी इनपुट डेटा की जांच करने के लिए एक मानक क्षेत्र सत्यापन तंत्र है, जिसमें हेडर, कुकीज, क्वेरी स्ट्रिंग्स, हिडन फ़ील्ड्स, साथ ही फॉर्म फ़ील्ड्स की लंबाई, उनके प्रकार, वाक्यविन्यास, मान्य वर्ण और अन्य नियमों को स्वीकार करने से पहले डेटा संग्रहीत किया जाएगा और प्रदर्शित किया जाएगा। वेबसाइट। उदाहरण के लिए, यदि आपको क्षेत्र में एक उपनाम निर्दिष्ट करने की आवश्यकता है, तो आपको केवल पत्र, हाइफ़न और रिक्त स्थान की अनुमति देने की आवश्यकता है। यदि आप बाकी सब कुछ को अस्वीकार करते हैं, तो डी-आर्क नाम खारिज कर दिया जाएगा - दुर्भावनापूर्ण डेटा को स्वीकार करने की तुलना में विश्वसनीय जानकारी को अस्वीकार करना बेहतर है।
दुर्भाग्य से, PHP डेटा को मान्य करने के लिए अंतर्निहित फ़िल्टर अपने कार्य के साथ सामना नहीं करते हैं, इसलिए यह आवश्यक है कि अपने स्वयं के फ़िल्टर लिखने और उन्हें आवश्यक रूप से "समाप्त" करें। इस प्रकार, समय के साथ, आपके इनपुट फ़िल्टरिंग तरीकों में सुधार होगा। यह भी याद रखना चाहिए कि ऐसे फिल्टर को बायपास करने के लिए कई प्रकार की सक्रिय सामग्री और एन्कोडिंग विधियां हैं। उसी कारण से, ब्लैकलिस्टिंग का उपयोग न करें।

3. प्रत्येक वेब पेज पर एन्कोडिंग को इंगित करें। प्रत्येक वेब पेज के लिए, आपको किसी भी कस्टम फ़ील्ड से पहले एन्कोडिंग (उदाहरण के लिए, ISO-8859-1 या UTF-8) निर्दिष्ट करना होगा।
उपयोग उदाहरण:

 <?php header("Content-Type: text/html; charset=utf-8"); ?> <!DOCTYPE html> <html> <head> <title>harset</title> <meta charset="utf-8"> </head> 

या अपाचे वेब सर्वर की .htaccess फ़ाइल में लाइन जोड़ें:

AddDefaultCharset UTF-8

यदि http- हेडर या मेटा टैग में कोई एन्कोडिंग निर्दिष्ट नहीं है, तो ब्राउज़र पेज एन्कोडिंग को स्वयं निर्धारित करने का प्रयास करता है। HTML 5 एन्कोडिंग के उपयोग की अनुशंसा नहीं करता है जिसमें JIS_C6226-1983, JIS_X0212-1990, HZ-GB-2312, JOHAB (विंडोज कोड पेज 1361), साथ ही ISO-2022 और EBCDIC पर आधारित एनकोडिंग शामिल हैं। इसके अलावा, वेब डेवलपर्स CESU-8, UTF-7, BOCU-1, या SCSU एन्कोडिंग का उपयोग नहीं करना चाहिए। ये एन्कोडिंग वेब सामग्री [1] के लिए कभी नहीं थे। यदि टैग टैग से पहले स्थित है और उपयोगकर्ता डेटा से भरा है, तो हमलावर UTF-7 में एन्कोडेड दुर्भावनापूर्ण HTML कोड डाल सकता है, इस प्रकार '<' और '' '' जैसे अक्षरों को छानता है।

4. HttpOnly ध्वज सेट करें। यह ध्वज क्लाइंट कुकीज़ को स्क्रिप्टिंग भाषाओं जैसे जावास्क्रिप्ट के माध्यम से अनुपलब्ध बनाता है।
यह सेटिंग सक्रिय है।
- php.ini [2] में:

session.cookie_httponly = True

- समारोह में स्क्रिप्ट के माध्यम से फंक्शन सेशन_सेट_कोइक_परम () [3]:

 void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure = false [, bool $httponly = true ]]]] ) 

- सेटक्यूकी () फ़ंक्शन [4] के माध्यम से एक वेब अनुप्रयोग में:

 bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = true ]]]]]] ) 

यह सुविधा आम ब्राउज़रों के नवीनतम संस्करणों द्वारा समर्थित है। हालाँकि, XMLHttpRequest और अन्य शक्तिशाली ब्राउज़र तकनीकों के माध्यम से कुछ ब्राउज़रों के पुराने संस्करण सेट-कुकी हेडर सहित HTTP हेडर को रीड एक्सेस प्रदान करते हैं, जिसमें HttpOnly ध्वज सेट [5] है।

5. सामग्री सुरक्षा नीति (सीएसपी) का उपयोग करें। यह एक ऐसा शीर्षक है जो आपको ऐसे स्रोतों की "श्वेत सूची" घोषित करने की अनुमति देता है जिनसे आप विभिन्न डेटा लोड कर सकते हैं, उदाहरण के लिए, जेएस, सीएसएस, चित्र आदि। यदि कोई हमलावर किसी वेब पेज में स्क्रिप्ट एम्बेड करने का प्रबंधन करता है, तो भी यह विफल नहीं होगा। स्रोतों की अनुमत सूची से मिलान करें।
CSP का उपयोग करने के लिए, एक वेब एप्लिकेशन को सामग्री-सुरक्षा-नीति HTTP शीर्ष लेख के माध्यम से ब्राउज़र को एक नीति भेजनी होगी।
उपयोग उदाहरण:

 Content-Security-Policy: default-src 'self'; script-src trustedscripts.example.com style-src 'self' ajax.googleapis.com; connect-src 'self' https://api.myapp.com realtime.myapp.com:8080; media-src 'self' youtube.com; object-src media1.example.com media2.example.com *.cdn.example.com; frame-src 'self' youtube.com embed.ly 

'सामग्री-सुरक्षा-नीति' आधिकारिक W3C अनुमोदित http हेडर है, जो Chrome 26+, फ़ायरफ़ॉक्स 24+ और सफारी 7 ब्राउज़र द्वारा समर्थित है। "एक्स-कंटेंट-सिक्योरिटी-पॉलिसी" HTTP हेडर फ़ायरफ़ॉक्स 4-23 के लिए और IE 10-11 के लिए, "एक्स-वेबकिट-सीएसपी" हेडर का उपयोग क्रोम 14-25, सफारी 5.1-7 [6] के लिए किया जाता है।

एक वेब डेवलपर की स्थिति से, अपने संसाधन पर सीएसपी को सही ढंग से और सही ढंग से तैनात करना काफी समस्याग्रस्त है, क्योंकि साइट के प्रत्येक पृष्ठ के लिए एक अलग नीति निर्धारित की जानी चाहिए।

6. नियमित रूप से कोड सुरक्षा विश्लेषण और पैठ परीक्षण का संचालन करें। मैन्युअल और स्वचालित दोनों तरीकों का उपयोग करें। Nessus, Nikto और OWASP Zed Attack Proxy जैसे उपकरण आपको अपने वेब एप्लिकेशन में XSS कमजोरियों की पहचान करने में मदद कर सकते हैं।

7. उपयोगकर्ताओं को सलाह दी जाती है कि वे नए संस्करण में ब्राउज़र को नियमित रूप से अपडेट करें और उनके लिए एक्सटेंशन का उपयोग करें, उदाहरण के लिए, NoScript।
जैसा कि आप देख सकते हैं, प्रत्येक सिफारिश के अपने फायदे और नुकसान हैं, इसलिए, व्यापक सुरक्षा को लागू करने से क्रॉस-साइट स्क्रिप्ट निष्पादन का मुकाबला करने की प्रभावशीलता प्राप्त होती है, अर्थात। समुच्चय में वर्णित सिफारिशों का उपयोग।

उपयोगी लिंक:
1. HTML स्टैंडआर्ट। HTML के तत्व।
2. PHP: रनटाइम पर ट्यूनिंग।
3. PHP: session_set_cookie_params।
4. PHP: setcookie।
5. OWASP HttpOnly।
6. क्या मैं सामग्री सुरक्षा नीति का उपयोग कर सकता हूं।
7. PHP सुरक्षा गाइड।
8. 2011 सीडब्ल्यूई / एसएएनएस शीर्ष 25 सबसे खतरनाक सॉफ्टवेयर त्रुटियां। CWE-79: वेब पेज जनरेशन ('क्रॉस-साइट स्क्रिप्टिंग') के दौरान इनपुट का अनुचित उपयोग।
9. सामग्री सुरक्षा नीति का परिचय।
10. OWASP XSS।
11. OWASP टॉप 10 2013-A3-क्रॉस-साइट स्क्रिप्टिंग (XSS)।
12. OWASP XSS फ़िल्टर एविज़न चीट शीट।

लेख के लेखक: पेंटेस्टिट फ्रीलांस वर्कर, सर्गेई स्टोर्चक