Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?

作者: DarkKiller (System hacked)   2020-02-23 13:59:20
※ 引述《dp2046 (Kevin)》之銘言:
: 推 vencil: XSS本來就難防了 就連知名的框架也是不少見被挖出來 02/05 13:10
防 XSS 的重點在於要把 escape 搞懂:在不同的情境下要用不同的 escape
function,不是每個都拿同樣的 escape function。
搞懂就沒有很難防,大多數人只是沒有下功夫。
拿 PHP 來說好了,先假設要傳的 $data 是個不安全的字串,這些情境下要用哪些
escape function:
1. 在 html5 裡,某個 table 裡要呈現的資料:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<table>
<tr>
<td><?= $data ?></td>
</tr>
</table>
</body>
</html>
2. 在 html5 裡,某個 a link 裡的連結 (連結當然是個字串):
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="<?= $data ?>">link</a>
</body>
</html>
3. 在 html5 裡,某個 a link 裡的連結,裡面的 query string 變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="https://example.com/api?foo=<?= $data ?>"</a>
</body>
</html>
然後這邊假設 $data 是個二維 array,裡面都是字串 (像是
[["a", "b"], ["c", "d"]] 這樣):
4. 在 html5 裡,inline js 的變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<button onclick="javascript:f(<?= $data ?>);">test</button>
</body>
</html>
5. 在 html5 裡,js block 的變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<script>
<!
作者: Masakiad (Masaki)   2020-02-23 14:20:00
舉例過時了吧?php很少人這樣寫了
作者: tsao1211 (Sunday)   2020-02-23 14:36:00
概念說類似的
作者: ddoll288 (風兒卿卿)   2020-02-23 15:43:00
M大可以介紹一下最新寫法嗎?
作者: Masakiad (Masaki)   2020-02-23 16:15:00
我我想表達的是現在用php或其他語言塞資料比較少了,大多api吐給js塞,如果有js範例會比較有幫助
作者: vencil (vencs)   2020-02-23 17:27:00
同意前提,要搞懂 不要把一切責任都推給框架或別人
作者: superpandal   2020-02-23 18:04:00
一樓正解 寫的好沒有注入的可能 當然如果業務沒有這種疑慮是可以這樣寫

Links booklink

Contact Us: admin [ a t ] ucptt.com