PowerShell 5.1: منع تنفيذ البرنامج النصي من محتوى الويب

لا يلزم اتخاذ أي إجراء إذا كان الاستخدام النموذجي للأمر Invoke-WebRequest هو إحضار المحتوى (مثل تنزيل الملفات أو قراءة نص ثابت) ولا تعتمد على تفاعل الموقع المتقدم أو تحليل HTML DOM. السلوك الافتراضي الجديد أكثر أمانا - لن يتم تشغيل البرامج النصية المضمنة في محتوى الويب دون إذنك - وهذا هو التكوين الموصى به لمعظم السيناريوهات. 

للاستخدام التفاعلي، ما عليك سوى الاستجابة لا لمطالبة الأمان الجديدة (أو اضغط على Enter لقبول الإعداد الافتراضي) وأعد تشغيل الأمر باستخدام المعلمة -UseBasicParsing لاسترداد المحتوى بأمان. سيؤدي ذلك إلى تجنب تنفيذ أي تعليمة برمجية للبرنامج النصي في الصفحة التي تم جلبها. إذا كنت تقوم بإحضار محتوى الويب بشكل تفاعلي بشكل متكرر، ففكر في استخدام المعلمة -UseBasicParsing بشكل افتراضي في أوامرك لتخطي المطالبة تماما وضمان أقصى قدر من الأمان. 

بالنسبة إلى البرامج النصية التلقائية أو المهام المجدولة، قم بتحديثها لتضمين المعلمة -UseBasicParsing على استدعاءات Invoke-WebRequest. يحدد هذا السلوك الآمن مسبقا بحيث لا تظهر المطالبة ويستمر تشغيل البرنامج النصي الخاص بك دون انقطاع. من خلال القيام بذلك، يمكنك التأكد من أن التشغيل التلقائي الخاص بك يعمل بسلاسة بعد التحديث مع الاستمرار في الاستفادة من الأمان المحسن. 

بالنسبة إلى البرامج النصية أو الأتمتة التي تتعامل مع محتوى ويب غير موثوق به أو عام وتتطلب معالجة هياكل أو نماذج HTML، ضع في اعتبارك إعادة بناء التعليمات البرمجية أو تحديثها للأمان على المدى الطويل. بدلا من الاعتماد على PowerShell لتحليل البرامج النصية لصفحة الويب التي يحتمل أن تكون خطرة وتشغيلها، يمكنك: 

• استخدم أساليب أو مكتبات تحليل بديلة (على سبيل المثال، تعامل مع محتوى صفحة الويب كنص عادي أو XML، باستخدام مكتبات تحليل regex أو XML/HTML التي لا تنفذ البرامج النصية).

• قم بتحديث نهجك لتفاعلات الويب، ربما باستخدام PowerShell Core الأحدث (الإصدار 7.x أو أحدث) الذي لا يعتمد على محرك Internet Explorer ويتجنب تشغيل البرامج النصية، أو باستخدام أدوات استخراج الويب المتخصصة التي تتعامل مع المحتوى بشكل أكثر أمانا.

• الحد من الاعتماد على الميزات الخاصة ب Internet Explorer، نظرا لأن Internet Explorer مهمل. خطط لإعادة كتابة أجزاء من البرامج النصية التي تعتمد على هذه الميزات حتى تتمكن من العمل في بيئة تتم فيها معالجة محتوى الويب بأمان.

• الهدف من إعادة بناء التعليمات البرمجية هو تحقيق وظائفك المطلوبة دون تعريض نفسك لمخاطر الأمان، وبالتالي تبني الإعدادات الافتراضية الأكثر أمانا التي يقدمها هذا التغيير.

إذا كانت لديك حاجة محددة لاستخدام أوامر Invoke-WebRequest إمكانات تحليل HTML الكاملة (مثل التفاعل مع حقول النماذج أو استخراج البيانات المنظمة) وكنت تثق بمصدر محتوى الويب، فلا يزال بإمكانك متابعة سلوك التحليل القديم على أساس كل حالة على حدة. في الجلسات التفاعلية، هذا يعني ببساطة اختيار نعم في مطالبة التأكيد للسماح بمتابعة العملية. ستتلقى تذكيرا بالمخاطر الأمنية في كل مرة تقوم فيها بذلك. يجب أن يقتصر المتابعة بدون المعلمة -UseBasicParsing على السيناريوهات التي تثق فيها بشكل كامل بمحتوى الويب (على سبيل المثال، تطبيقات الويب الداخلية تحت سيطرتك أو مواقع الويب الآمنة المعروفة). 

بالنسبة لمعظم الحالات، ستظل البرامج النصية التي تقوم بتنزيل الملفات أو إحضار محتوى الويب كنص تعمل؛ أضف المعلمة
-UseBasicParsing لتجنب المطالبات. قد تعلق البرامج النصية التي تستخدم تحليل HTML المتقدم (مثل النماذج أو DOM) البيانات الأولية أو إخراجها بدلا من العناصر المنظمة؛ ستحتاج إلى التبديل إلى التحليل الأساسي أو تعديل البرنامج النصي الخاص بك للتعامل مع المحتوى بشكل مختلف.

استخدم دائما المعلمة -UseBasicParsing مع الأمر Invoke-WebRequest في البرامج النصية PowerShell لضمان التنفيذ الآمن وغير التفاعلي.  

نعم. يجب تحديث البرامج النصية اعتمادا على التحليل القديم للاشتراك أو إعادة بناء التعليمات البرمجية.

ينطبق التغيير في PowerShell على كل من التحديثات القياسية وتحديثات hotpatch، ما يؤدي إلى تغيير السلوك نفسه.

نعم. يستخدم PowerShell 7 بالفعل التحليل الآمن بشكل افتراضي.

اتصل بمالكي الوحدة النمطية للحصول على خطط الدعم. استخدم الاشتراك مؤقتا للمحتوى الموثوق به أثناء الترحيل.

للتحضير لهذا التغيير والتحقق من صحته، نوصيك بما يلي: 

• تحديد البرامج النصية باستخدام ميزات DOM.

• اختبار الأتمتة مع الإعداد الافتراضي الجديد.

• قصر الاشتراك القديم على المصادر الموثوق بها.

• خطط لإعادة بناء التعليمات البرمجية للمحتوى غير الموثوق به.