P�ihl�sit

Select the product you need help with

Jak zabr�nit probl�m� zabezpe�en� skriptov�n� mezi servery

ID �l�nku: 252985 - Produkty, kter� se vztahuj� k tomuto �l�nku.

UPOZORN�N�: TENTO �L�NEK BYL STROJOV� P�ELO�EN

Zobrazen� anglick�ho �l�nku a jeho �esk�ho p�ekladu vedle sebe

Zobrazen� p�vodn�ho anglick�ho �l�nku a jeho p�ekladu vedle sebe.

Pozn�mka

Tento �l�nek se t�k� syst�mu Windows 2000. Podporu pro syst�m Windows 2000 kon�� na 13. �ervence 2010.Windows 2000 End-of-Support Solution Center

(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)

je v�choz� bod pro pl�nov�n� strategie p�enesen� ze syst�mu Windows 2000. Dal�� informace v t�matu Microsoft Support Lifecycle Policy

(http://support.microsoft.com/lifecycle/)

Rozbalit v�echny z�lo�ky | Minimalizovat v�echny z�lo�ky

Str�nky HTML dynamicky generovan�ch lze zav�d�t rizika zabezpe�en�, pokud vstup� nen� ov��ena bu� na zp�sobem v nebo zp�sob out. �kodliv� skript m��e b�t vlo�en v r�mci vstup je odesl�n webov�ch str�nek a zobraz� prohl�e�� jako poch�zej�c� z d�v�ryhodn�ho zdroje. Tento probl�m je ozna�ov�n jako probl�m zabezpe�en� skriptov�n� mezi servery. Tento �l�nek popisuje probl�m� zabezpe�en� skriptov�n� mezi servery, strukturu a zabr�n�n�.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

K tomuto probl�mu

Podkladov� probl�m je mnoho webov�ch str�nek zobrazit vstup nen� ov��ena. Vstup nen� ov��en, m��e b�t v r�mci vstupn� vlo�en �kodliv� skript. Pokud skript na stran� serveru potom zobraz� tento vstup nen� ov��ena, bude skript spu�t�n na prohl�e�i, jako by jej generov�ny d�v�ryhodn� web.

N�sledky

Vstup dynamick� webov� str�nky nen� ov��ena, mohou nastat n�sleduj�c� probl�my:

Integrita dat m��e b�t ohro�eno.
Soubory cookie m��ete nastavit a ��st.
Vstup u�ivatele m��e b�t zachycen.
�kodliv� skripty mohou b�t provedeny podle klienta v kontextu d�v�ryhodn� zdroj.

Kter� webov�ch str�nek jsou ohro�eny? V podstat� probl�m ovliv�uje vytv��en� dynamick� str�nky zalo�en� na vstup nebyl ov��en. Typick� p��klady zahrnout n�sleduj�c� typy webov�ch str�nek:

Vyhled�vac� stroje vr�tit v�sledky str�nky na z�klad� vstupu u�ivatele.
P�ihla�ovac� str�nky, kter� ukl�d�n� u�ivatelsk�ch ��t� v datab�z�ch, soubory cookie a tak d�le a pozd�ji z�pisu u�ivatelsk� jm�no klienta.
Webov� formul��e zpracov�n� informac� o kreditn� kart�.

Ochrana

Tato ��st nab�z� n�kolik p��stupy k zabr�n�n� �tok�m zabezpe�en� skriptov�n� mezi servery. Vyhodnotit konkr�tn� situaci ur�it techniky, kter� funguj� nejl�pe. Je d�le�it� poznamenat, jsou ov��en� v v�echny techniky dat, kter� obdr��te z vstup a nen� d�v�ryhodn� skriptu. Zabr�n�n� v podstat� znamen� postupujte vhodn� k�dov�n� spu�t�n�m kontroly sanity na vstupu na va�e rutiny.

N�sleduj�c� seznam uv�d� obecn� p��stupy zabr�nit �toky prost�ednictv�m skriptov�n� mezi servery:

K�dovat v�stup na z�klad� vstupn� parametry.
Filtr vstupn�ch parametr� speci�ln� znaky.
V�stup filtru na z�klad� vstupn� parametry speci�ln� znaky.

P�i filtrov�n� nebo k�dovat mus�te ur�it znakovou sadu pro webov� str�nky zajistit kontroluje v� filtr pro p��slu�n� speci�ln� znaky. Data je vlo�en do webov�ch str�nek byste odfiltrovat bajt sekvence, kter� jsou pova�ov�ny za zvl�tn� zalo�en� na ur�itou znakovou sadu. Popul�rn� charset je ISO 8859-1, kter� byla v�choz� v d��v�j��ch verz�ch HTML a HTTP. P�i zm�n� t�chto parametr� je nutn� prov�st do ��tu lokalizace probl�my.

K�dovat v�stup na z�klad� vstupn� parametry speci�ln� znaky

Zak�dov�n� dat je p�ijat jako vstup p�i z�pisu jako HTML. Tato technika je ��inn� na nebyl ov��en z n�jak�ho d�vodu b�hem vstupn� data. Pomoc� technik, jako nap��klad URLEncode a HTMLEncode m��ete zabr�nit v prov�d�n� �kodliv� skript.

N�sleduj�c� fragmenty k�du demonstruj� pou�it� URLEncode a HTMLEncode ze str�nek ASP (Active Server Pages):

<%
      var BaseURL = http://www.mysite.com/search2.asp?searchagain=;
      Response.write("<a href=\"" + BaseUrl +
      Server.URLEncode(Request.QueryString("SearchString")) +
      "\">click-me</a>");
%>
<% Response.Write("Hello visitor <I>" +
      Server.HTMLEncode(Request.Form("UserName")) +
      "</I>");
%>

Pokud k�dov�n� HTML a URL m��e b�t nutn� zadat k�d str�nky, jako by byly filtrovat data.

Je d�le�it� V�imn�te si, �e vol�n� HTMLEncode na �et�zec, kter� je o zobrazen� zabr�n�te ��dn� skript v n� z prov�d�n� a tedy zabra�uje probl�mu.

Filtrovat vstupn� parametry speci�ln� znaky

Filtrov�n� vstup funguje odebr�n�m n�kter�ch nebo v�ech zvl�tn�ch znak� z v� vstup. Speci�ln� znaky jsou znaky povolen� skriptu generov�na v r�mci proudu HTML. Speci�ln� znaky pat�� n�sleduj�c�:

< > " ' % ; ) ( & + -

Pozn�mka, m��e situaci jednotliv� d�vod filtrov�n� dal�� znaky nebo �et�zce za speci�ln� znaky.

P�i filtrov�n� m��e b�t efektivn� technika, jsou n�kolik v�hradami:

Filtrov�n� pravd�podobn� nen� vhodn� pro n�kter� vstup. Nap��klad v situac�ch, kde jsou p��jem <text>vstupu z formul��e HTML, m��e m�sto toho zvol�te metodu, jako je nap��klad k�dov�n� (viz n�e).
N�kter� znaky filtrovan� ve skute�nosti m��e b�t vy�adov�n vstup skriptu na stran� serveru.

N�sleduj�c� uk�zkov� filtr, kter� je naps�n JavaScript, ukazuje, jak odebrat speci�ln� znaky:

function RemoveBad(strTemp) { 
    strTemp = strTemp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,""); 
    return strTemp;
}

n�sleduj�c� k�d zpracov�v� vstup u�ivatele p�ed ulo�en�m pro pozd�j�� pou�it�.

<% Session("StoredPreference") = RemoveBad(Request.Cookies("UserColor"));
         var TempStr = RemoveBad(Request.QueryString("UserName"));

V�stup filtru na z�klad� vstupn� parametry speci�ln� znaky

Tento postup je podobn� filtrov�n� vstup s t�m rozd�lem, �e filtr znaky, kter� jsou zapisov�ny do klienta. To mohou b�t efektivn� technika, jej mohou prezentovat probl�m pro z�pis mimo prvk� HTML webov� str�nky.

Nap��klad na str�nce zap�e <TABLE>prvky obecn� funkce, kter� odebere speci�ln� znaky by odstranit < a > znak�, ruins zna�ku <TABLE>. Proto v po�ad� pro tuto techniku b�t u�ite�n� by pouze filtr p�edan� dat nebo dat, kter� byl zad�n u�ivatelem d��ve a ulo�eny v datab�zi.

Mo�n�ch zdroj� �kodliv� dat

Zat�mco probl�m se vztahuje na str�nku, kter� pou��v� vstupn� dynamicky generovat HTML, jsou n�sleduj�c� n�kter� mo�n�ch zdroj� �kodliv� data pomoci p��m� za�krtnut� pro potenci�ln� rizika zabezpe�en�:

�et�zec dotazu
soubory cookie
Za��tovan� dat
URL a kus� URL, nap��klad PATH_INFO
Data na�ten� z u�ivatel� trvala n�kter� zp�sobem, jako nap��klad v datab�zi

Z�v�r

Conclusion jsou n�sleduj�c� kl��ov� body t�kaj�c� se probl�m zabezpe�en� skriptov�n� mezi servery nezapome�te:

Probl�m ovliv�uje vytv��en� dynamick� str�nky zalo�en� na vstup nebyl ov��en.
Vynech�n� sanity Kontrola na vstupn�ch dat m��e m�t neo�ek�van� zabezpe�en� d�sledky. Probl�m je preventable prost�ednictv�m dobr� v�vojov� standardy jako je nap��klad ov��en� vstupu.
Je t�eba vyhodnotit �e�en� na na jeden web, str�nce a dokonce z�klad pole a pou��t technika smysl.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Odkazy

Dal�� informace naleznete v n�sleduj�c�ch zpravodaj z po��ta� Emergency Response Team (CERT) na univerzity Carnegie Mellon:

http://www.cert.org/advisories/CA-2000-02.html

(http://www.cert.org/advisories/CA-2000-02.html)

Dal�� informace naleznete v n�sleduj�c�ch �l�nc�ch znalostn� b�ze Microsoft Knowledge Base:

253117

(http://support.microsoft.com/kb/253117/ )

Preventing Internet Explorer a Outlook Express v�ce web� skriptov�n� probl�my zabezpe�en�

253119

(http://support.microsoft.com/kb/253119/ )

Jak zkontrolovat k�d ASP chybu CSSI

253120

(http://support.microsoft.com/kb/253120/ )

Jak zkontrolovat Visual InterDev generovan� k�d pro chybu zabezpe�en� CSSI

253121

(http://support.microsoft.com/kb/253121/ )

Jak zkontrolovat k�d MTS/ASP chyba CSSI

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Vlastnosti

ID �l�nku: 252985 - Posledn� aktualizace: 1. b�ezna 2006 - Revize: 3.6

Informace v tomto �l�nku jsou ur�eny pro produkt:

Microsoft Active Server Pages 2.0
Microsoft Active Server Pages 3.0
Microsoft Windows 2000 Server

kbmt kbcodesnippet kbcssi kbhowto kbsecurity KB252985 KbMtcs

Strojov� p�elo�en� �l�nek

D�le�it�: Tento �l�nek byl p�elo�en pomoc� software spole�nosti Microsoft na strojov� p�eklad, ne profesion�ln�m p�ekladatelem. Spole�nost Microsoft nab�z� jak �l�nky p�elo�en� p�ekladatelem, tak �l�nky p�elo�en� pomoc� software na strojov� p�eklad, tak�e v�echny �l�nky ve Znalostn� datab�zi (Knowledge Base) jsou dostupn� v �e�tin�. P�eklad pomoc� software na strojov� p�eklad ale nen� bohu�el v�dy dokonal�. Obsahuje chyby ve sklo�ov�n� slov, skladb� v�t, nebo gramatice, podobn� jako kdy� cizinci d�laj� chyby p�i mluven� v �e�tin�. Spole�nost Microsoft nen� pr�vn� zodpov�dn� za nep�esnosti, chyby nebo �kody vznikl� chybami v p�ekladu, nebo p�i pou�it� nep�esn� p�elo�en�ch instrukc� v �l�nku z�kazn�kem. Spole�nost Microsoft aktualizuje software na strojov� p�eklad, aby byl po�et chyb omezen na minimum.

Projd�te si tak� anglickou verzi �l�nku:252985

(http://support.microsoft.com/kb/252985/en-us/ )

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dejte n�m zp�tnou vazbu

Zp�t nahoru

P�eklady �l�nku

United States (English)

Select the product you need help with

Jak zabr�nit probl�m� zabezpe�en� skriptov�n� mezi servery

Pozn�mka

Na t�to str�nce

Souhrn

Dal�� informace

K tomuto probl�mu

N�sledky

Ochrana

K�dovat v�stup na z�klad� vstupn� parametry speci�ln� znaky

Filtrovat vstupn� parametry speci�ln� znaky

V�stup filtru na z�klad� vstupn� parametry speci�ln� znaky

Mo�n�ch zdroj� �kodliv� dat

Z�v�r

Odkazy

Vlastnosti

Informace v tomto �l�nku jsou ur�eny pro produkt:

Kl��ov� slova:�

Dejte n�m zp�tnou vazbu

P�eklady �l�nku