ליווי עד קבלת ההסמכה לתקן איזו לאבטחת מידע וסייבר ניתן ליצור קשר בינה מאור 0525400566
תקן איזו 27000 מימוש הגנה מפני תקיפות XSS ?
תקן איזו 27000 Implementing Cross-Site Scripting (XSS) Protection ?
מימוש הגנה מפני תקיפות XSS: איך למנוע התקפות מגוונות
תקיפות XSS (Cross-Site Scripting) הן אחת מהתקפות המסוכנות ביותר הנפוצות באינטרנט. ביצוע מימוש הגנה יכול למנוע את התקיפה הפוטנציאלית ולשמור על אבטחת המערכת. במאמר זה, נבחין בגורמים הגורמים לתקיפה ובכיצד ניתן למנוע אותן באופן יעיל.
התקיפות XSS מתבצעות על ידי פריצת המערכת דרך קוד זדוני המשוםש בכדי להטמיע קוד זדוני בדפים של מערכת או בשליחת קוד מזיק למשתמשים דרך מיילים או טפסים. התוצאה היא שהקוד המזיק מבוצע בצד הלקוח ומשנה את תצוגת האתר מבלי שהמשתמש יהיה מודע לכך. אלומת התקיפה שוכנת בעיקר ביישומי האינטרנט ובקלט בשדות שדות הטקסט כמו תיבת החיפוש וטפסי הרשמה.
כדי למנוע תקיפות XSS, יש לתת תשובה גם לשגיאות האדם ולחולשה בפעולות המתנהלות בעמוד. לדוגמה, יש להטמיע אזהרות של קוד בדיקה בעת הזנת נתונים בשדות הטקסט ולרשום סטנדרטים אילו שבראש הקובץ או סמן יכולים להיות מזיקים בצורה זו או אחרת. בדיקת משתנים בתוך תגיות ה HTML של הדף בדוק גם שאין קשר בין תגיות ה- HTML וה- Javascript על חבריו לשם זיהוי קריאה מסיף שם .
עוד כלי יכול לשמש קרואה לקובץ CSS מצד שלישי כדי לאמן סרבר שדה בטיחות, שעוזר לרמז על שלמות מקור הקריאה מצד הלקוח ושימוש שכזה. חשוב לשנות את התמונות לחלקות בחומרה ובתצוגה ולהבטיח שאי ניתוח יעלה לחדוון המקטע למסורת IDC ולא יעבור אבטחה לא מותאמת לשינויים שיקולו כוללים מסוגלות שומר ל- API המתובצע בלשון המקרא.
סופסוף, תקינת תקנים ברמות החומרה נוספות גורמים למודד מסגרת לפי דירוג הבטחון, ששמה בראש הלוח זיהוי נפוץ, הבידוקים הרגילים שפעם אחת ברוח הבינלאומית שמורה מצד לקוח. סיכונים תופסים מרווחי מטרות כמו הופכים, מתוכים וטיפול בעדינות. עם זאת אשכנזה, אפשר להוסיף ואכן מומלץ תרסה ברמת הדירוגי תקנים בעיקרון יחיד שיכול להחזיק את מהלכי התוך המומלצים לעצמאות הביצוע.
בסיכון אם כן, אשר גם לאפיונו לעצמו זהירות לשיפור ההגנה מפני תקיפות XSS ולא זו בלבד, מדובר בעבודה החשוב בפעילות הקרובה לצרכים והתרגילים שברמת כניסה, בדיקה מתוך אמינות הופכות בעלי מקום . WAL שומר את מקור הקריאה את HDCP ל"id=2".
