תקיפות Cross-Site Scripting (XSS): שימוש תקן 27000

תקיפות Cross-Site Scripting (XSS): איך למנוע התקפות

תקיפות תכנות צד שרת ותכנות צד לקוח הן אחת מהבעיות האבטחתיות הנפוצות ביותר שמתמודדות ארגונים ברחבי העולם. התקפות Cross-Site Scripting (XSS) הן צורה מסוימת של תקיפה תכנותית צד לקוח, שבה התוקפים מצליחים להוסיף קוד זריקת סקריפט שליטה בעץ הדפים של אתר מטרה, ובכך לרתום תוכן מזיק לגולשים התוקפים או לגולשים אחרים.

איך ניתן למנוע תקיפות XSS?

בכדי למנוע תוקפים מבצעי XSS ישנן מספר פתרונות אבטחה יעילים, המסווגים באופן כללי לשני קטגוריות: בקרות במדיניות אבטחה (CSP) ומודלים לסנן קלט לקוד יוזר. כל הקטגוריות מיועדות לחסום ניסיונות XSS מצליחים בגרסאות מדפדפנים עדכניות.

סנן קלט לקוד יוזר הינו הגיוני ויעיל עבור אתרים גדולים שמאמינים להקוד הקיים ומעוניינים רק למנוע קריאת קוד סקריפטים. טוב ונכון לסנן קלט, אך עדיין לא יותר מדי מגנטים הם המדינויות.

בקרות במדיניות אבטחה הן בסך הכל תוכניות סקריפט מחד במצוות את הדפדפן לבדוק α את שם קובץ הסקריפט, עוגן את טיפוס ההסקריפט במתן הרשאות לסקריפט חיצוני ומכוונות לחסום סקריפטים בהתאם למדיניות שנקבע על ידי אתר.

מילים אחרות, במקום הסנן קוד, מדובר בשליות הנכונה במיוחד שבאה לחסוך תחנת שמירה עבור חוליה ואומץ מומצע, מבחינת אגף האבטחה.

תקן 27001: הסבר את החשיבות של תקן 27000

תקן 27001 הוא חלק מסדרת התקנים הבינלאומית ISO/IEC 27000, המתמקדים בניהול אבטחת מידע. התקן חוקק על ידי איחוד התקנים הבינלאומי (ה-ISO) והאלקטרוטכניקה הבינלאומית (ה-IEC).

התקן מתיחס למערכות ניהול אבטחת המידע בארגון ומוערך לפי שלושה היבטים: התקנת המערך עצמו, החלפות במערכת המידע התפעולית בארגון, והשיפור המתמיד של הפעולות המוערכות על פי הadvanced מתקנים שפותחים על פי התקן 27004. התקן יכול לשלב את מדיניות אבטחת המידע הפניקס או מותאמת פניקס לפי דרישות המשתמש.

ליווי עד קבלת ההסמכה לתקן איזו לאבטחת מידע וסייבר ניתן ליצור קשר בינה מאור 0525400566

תקן iso 27000 תקיפות Cross-Site Scripting (XSS): ?
תקן iso 27000 Cross-Site Scripting (XSS): Sanitize Input Data ?