Application Security

دفاع از خط مقدم: راهنمای جامع برای جلوگیری از حملات XSS

اسکریپت‌نویسی بین‌سایتی (XSS) همچنان یکی از فراگیرترین و خطرناک‌ترین آسیب‌پذیری‌های برنامه‌های وب است. این آسیب‌پذیری سال‌هاست که در صدر لیست OWASP Top Ten قرار دارد و به مهاجمان اجازه می‌دهد تا اسکریپت‌های مخرب را در صفحات وبی که توسط کاربران دیگر مشاهده می‌شود، تزریق کنند. اگرچه مفهوم بنیادین آن—اعتماد بیش از حد به ورودی کاربر—ساده است، اما راهکارهای مقابله با آن پیچیده و ظریف هستند. به عنوان توسعه‌دهندگان، باید فراتر از فیلترهای ساده با عبارت‌های منظم (regex) حرکت کنیم و از یک استراتژی دفاع در عمق استفاده کنیم که شامل اعتبارسنجی سخت‌گیرانه ورودی، کدگذاری خروجی آگاه از زمینه، و محافظت‌های چارچوب‌های مدرن باشد.

درک منظره: سه نوع XSS

قبل از ورود به مباحث پیشگیری، تمایز قائل شدن بین سه نوع اصلی XSS حیاتی است، زیرا هر کدام نیازمند رویکرد دفاعی کمی متفاوت هستند:

  1. XSS بازتابی (Reflected XSS): اسکریپت مخرب از درخواست HTTP فعلی می‌آید. این حملات اغلب از طریق لینک‌های فیشینگ ارسال می‌شوند. برنامه ورودی را بدون پاک‌سازی مناسب به کاربر بازتاب می‌دهد.
  2. XSS ذخیره‌شده (Persistent XSS): اسکریپت مخرب به طور دائمی روی سرور هدف، مانند در پایگاه داده، فیلد نظرات یا پست انجمن، ذخیره می‌شود. هر بار که کاربر این داده را بازیابی می‌کند، اسکریپت اجرا می‌شود.
  3. XSS مبتنی بر DOM: آسیب‌پذیری در کد سمت کلاینت وجود دارد، نه در کد سمت سرور. مهاجم محیط DOM را در مرورگر قربانی تغییر می‌دهد و باعث اجرای غیرمنتظره اسکریپت‌های سمت کلاینت می‌شود.

اگرچه مکانیزم‌های تحمله متفاوت هستند، اما علت ریشه همیشه یکسان است: برنامه بین کد قابل اجرا و داده‌های قابل اعتماد تمایز قائل نمی‌شود.

قانون طلایی: کدگذاری خروجی آگاه از زمینه

موثرترین دفاع در برابر XSS لزوماً فیلتر کردن ورودی نیست، بلکه اطمینان از این است که تمام داده‌های نمایش داده شده در مرورگر برای زمینه خاص خود به درستی کدگذاری شده باشند. مرورگرها HTML را بسته به اینکه در داخل یک تگ، یک ویژگی (attribute)، یک بلوک اسکریپت یا یک سبک CSS قرار دارند، متفاوت تفسیر می‌کنند. عدم توجه به زمینه، شایع‌ترین دلیل موفقیت حملات است.

عملکرد خطرناک زیر را در یک موتور قالب‌بندی سمت سرور (مانند Jinja2 در پایتون یا EJS در نود) در نظر بگیرید که در آن داده‌ها به طور خودکار فرار (escape) نمی‌شوند:

<!-- کد آسیب‌پذیر -->
<div>
  Hello, <script>{user_input}</script>!
</div>

اگر user_input برابر با alert('XSS') باشد، HTML حاصل به صورت Hello, ! در می‌آید و اسکریپت بلافاصله اجرا می‌شود. راه حل، کدگذاری خروجی است به طوری که کاراکترهای خاص مانند < و > به معادل‌های موجودیت HTML خود (< و >) تبدیل شوند:

<!-- کد امن -->
<div>
  Hello, <%= user_input %>!
</div>

در چارچوب‌های مدرن مانند React، Angular یا Vue، کدگذاری خروجی اغلب رفتار پیش‌فرض است. وقتی از سینتکس تفسیر (مانند {userInput} در React) استفاده می‌کنید، چارچوب به طور خودکار محتوا را قبل از درج در DOM فرار می‌کند و لایه محافظت قابل توجهی در برابر XSS ذخیره‌شده و بازتابی ارائه می‌دهد.

دفاع در برابر XSS مبتنی بر DOM

XSS مبتنی بر DOM چالش منحصر به فردی ایجاد می‌کند زیرا آسیب‌پذیری در اجرای جاوااسکریپت نهفته است، نه در رندرینگ HTML. مهاجمان از APIهای ناسالم DOM که داده‌های کنترل شده توسط کاربر را بدون اعتبارسنجی می‌پذیرند، سوءاستفاده می‌کنند.

APIهای خطرناک رایج شامل document.write()، innerHTML و location.hash هستند. استفاده از این توابع با ورودی غیرقابل اعتماد، دستورالعملی برای فاجعه است.

<!-- جاوااسکریپت DOM خطرناک -->
<script>
  // هرگز از innerHTML با داده‌های غیرپاک‌سازی شده استفاده نکنید
  document.getElementById('output').innerHTML = location.hash.substring(1);
</script>

برای جلوگیری از این مورد، از textContent برای درج متن یا روش‌های ایمن دستکاری DOM استفاده کنید. اگر مجبور به درج HTML هستید، از یک کتابخانه معتبر که ورودی را قبل از درج پاک‌سازی می‌کند، استفاده نمایید. علاوه بر این، سیاست امنیت محتوا (CSP) به عنوان یک تور ایمنی حیاتی برای XSS مبتنی بر DOM عمل می‌کند. با محدود کردن منابعی که اسکریپت‌ها می‌توانند بارگیری و اجرا کنند، CSP می‌تواند بسیاری از پیکربندی‌های XSS را خنثی کند، حتی اگر تزریقی رخ دهد.

اعتبارسنجی ورودی به عنوان لایه ثانویه

اگرچه کدگذاری خروجی دفاع اصلی است، اما اعتبارسنجی ورودی به عنوان یک لایه ثانویه ارزشمند عمل می‌کند. این استراتژی که اغلب «لیست سفید» نامیده می‌شود، شامل تعریف دقیق ظاهری است که ورودی قابل قبول باید داشته باشد و رد کردن همه چیزهای دیگر است. به عنوان مثال، اگر یک فیلد انتظار یک آدرس ایمیل را دارد، از یک عبارت منظم استفاده کنید که به طور سخت‌گیرانه با فرمت‌های معتبر ایمیل مطابقت داشته باشد. اگر انتظار یک سن را دارد، اطمینان حاصل کنید که ورودی یک عدد صحیح در محدوده معقولی است.

با این حال، هرگز تنها به اعتبارسنجی ورودی تکیه نکنید. لیست سیاه کردن کلمات کلیدی خاص مانند <script> یا onerror= بی‌اثر است، زیرا مهاجمان می‌توانند با استفاده از کدگذاری، تغییر حروف بزرگ و کوچک، یا رویدادهای جدید، این فیلترها را دور بزنند. اعتبارسنجی باید برای اعمال قوانین کسب‌وکار استفاده شود، نه به عنوان تنها مانع امنیتی در برابر تزریق.

نتیجه‌گیری

پیشگیری از XSS نیازمند یک رویکرد چندوجهی است. با فرض اینکه تمام ورودی‌های کاربر مخرب هستند، شروع کنید. از چارچوب‌های مدرنی که کدگذاری خروجی را به طور پیش‌فرض مدیریت می‌کنند، بهره ببرید. هنگام ساخت راهکارهای سفارشی، کدگذاری آگاه از زمینه را پیاده‌سازی کنید. با بررسی جاوااسکریپت سمت کلاینت برای APIهای ناسالم، در برابر حملات مبتنی بر DOM دفاع کنید. در نهایت، هدرهای سیاست امنیت محتوا (CSP) را برای ارائه یک خط دفاعی نهایی قوی مستقر کنید. با ادغام این شیوه‌ها در چرخه عمر توسعه خود، می‌توانید خطر XSS را به طور قابل توجهی کاهش داده و برنامه‌های وب امن‌تر و قابل اعتمادتری بسازید.

Share: