不要直接访问超全局 $_GET 数组
我是 PHP 新手,如果这是一个愚蠢的问题,请原谅我,但为什么我不应该直接访问超全局数组中的项目?NetBeans 警告我不要(见标题),我在其他地方也读过同样的内容——但是我还没有找到一个好的解释. 会出什么问题?这是一个安全问题,比如 SQL 注入?还是别的什么? StackOverflow 上有几个类似的问题,但没有一个答案能真正解释问题所在:他们只是建议使用 filter_in
..
xss相关内容
保护应用程序免受 XSS
我们目前正在使用 OWASP Antisamy 项目来保护我们的应用程序免受 XSS 攻击.当任何给定的表单提交到服务器时,每个输入字段都会被清理.它工作正常,但我们在公司名称、组织名称等字段上有问题. 例如:对于 AT&T 转义符和公司名称显示错误(以转义字符显示). 我们手动更新数据库上的字段以解决此问题.然而,这是你可以想象的颈部疼痛. 有没有办法使用 OWASP anti
..
如何在 xss 攻击后恢复站点?
最近我正在研究 XSS 攻击以及它们对网站的破坏性. 令我感到惊讶的是,Web(甚至SO)充满了如何防止xss攻击,但没有相关资源如何恢复被 xss 攻击的网站. 我遇到了一些事情: 将备份网站代码上传回服务器 下载整个站点并手动查找任何恶意脚本 但这些听起来还不够好......我的意思是,没有任何其他专业主动方法来恢复被黑客入侵的网站??? 解决方案 对于
..
防止 XSS 的可靠方法?
我已经浏览了这些问题,但我还没有看到有人问过这个问题. 在某些用户提交的内容中删除任何类型的 XSS 尝试的确定方法是什么?我知道 应该分别转换为 < 和 >但我听说编码差异也可以解决这个问题. 假设一个白名单,有哪些步骤可以彻底清理一些用户提交的内容以确保不存在 XSS 漏洞? 解决方案 XSS 没有绝对的安全性,因为人们每天都会发现新的攻击媒介.有时
..
逃逸足以防止 XSS 攻击
我正在与我的一位同事就如何通过特定字符的编码来防止 XSS 攻击进行辩论.用 < 转义
..
在 Web 开发过程中,我将有多少时间花在用户输入验证上?
我是在网络上开发东西的新手.到目前为止,我花了很多时间(50% 左右)来尝试防止坏人将诸如 sql 注入之类的东西放入我的输入表单并在服务器端对其进行验证.这是正常的吗? 解决方案 @Jeremy - 一些 PHP 细节 当涉及到数据库查询时,总是尝试使用准备好的参数化查询.mysqli 和 PDO 库支持这一点.这比使用 mysql_real_escape_string 等转义函数
..
使用 img src 属性中的 javascript 进行 XSS 攻击
一些较旧的浏览器容易受到 XSS 攻击 当前版本的 IE、FF、Chrome 不是. 我很好奇是否有任何浏览器容易受到类似的攻击: 或 或其他类似的,其中 somefile.js 包含一些恶意脚本. 解决方案 没有.图像数据永远不会作为 Jav
..
如何在浏览器中安全地运行用户提供的 Javascript 代码?
想象一个场景,我想不断调用用户提供的 Javascript 代码,如下例所示,其中 getUserResult 是某个用户(不是我自己)编写的函数: for (var i = 0; i 如何在浏览器和/或 Node.js 中执行这种代码,而不会有任何安全风险? 更一般地说,我如何执行一个不允许修改甚至读取当前网页或任何其他全局状态的 Javascript 函数?有没有类似浏览器内的“J
..
什么是跨站脚本包含 (XSSI)?
我最近在多个页面上看到了 XSSI,例如网络应用程序漏洞利用和防御: 浏览器阻止一个域的页面阅读其他域中的页面.但是它们不会阻止域的页面引用其他域中的资源.特别是,它们允许从其他域渲染图像和从其他域执行脚本.包含的脚本没有自己的安全上下文.它在包含它的页面的安全上下文中运行.例如,如果 www.evil.example.com 包含托管在 www.google.com 上的脚本,那么该脚本将
..
使用 php 保护简单所见即所得的最佳方法
我在我的网站中添加了一个简单的所见即所得编辑器.(它只允许 B/I/U - 没有更多) 我目前将所有内容作为 html 存储在我的数据库中 - 但添加 或其他恶意代码很简单) PHP 中安全解析此输入的最佳方法是什么?如何将、等实现为白名单并对其他所有内容进行编码? 解决方案 HTMLPurifier 我只是要把这个扔出去,可能会不可避免地受到鞭打
..
用户可编辑的 HTML XSS 保护(类似 tumblr)
我希望我的服务有这样一个功能:作者可以完全自定义页面,但不能窃取用户的cookie. Tumblr 遇到了一些麻烦,但成功解决了它们http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html 所以我需要解决方案 没有节制 用户-作者可以完全访问页面的 html 代码,不需要白名单过滤和模板语言
..
什么是跨站脚本?
在本网站 (归档快照) 在“XSS 理论"下',它说: 黑客用他的恶意客户端脚本感染一个合法的网页 我在阅读本文时的第一个问题是:如果应用程序部署在安全的服务器上(例如银行的情况),黑客如何才能访问网页的源代码?或者他/她可以在不访问源代码的情况下注入恶意脚本吗? 解决方案 通过跨站脚本,可以感染 HTML document 生成的 HTML document 而不会导致 we
..
HTML 编码会阻止各种 XSS 攻击吗?
我不担心其他类型的攻击.只是想知道HTML Encode是否可以防止各种XSS攻击. 即使使用 HTML 编码,有没有什么方法可以进行 XSS 攻击? 解决方案 没有 撇开允许某些标签的主题(并不是问题的重点),HtmlEncode 根本不涵盖所有 XSS 攻击. 例如,考虑服务器生成的客户端 javascript - 服务器动态地将 htmlencoded 值直接输出到
..
跨站脚本攻击和同源策略
我熟悉持久性和非持久性XSS.我还知道同源策略,它可以防止/限制来自一个网站页面的请求转到另一个网站服务器.这让我觉得同源策略至少可以阻止非持久性类型的 XSS 攻击(因为在持久性类型的攻击中,恶意代码来源与窃取的私人信息相同).我的理解正确吗?可以使用 SOP 来阻止/减少这些攻击吗? 编辑:好的,我在浏览器端的 2 个脚本之间调用方法和在另一个网站上调用诸如 HTTP POST 之类的方
..
托管在不同域上的 JavaScript 可以读取/修改另一个域的 DOM 吗?
我有一个关于托管在域(例如:CDN 的域,例如 example.com)上但从不同域(例如 example.net)下的网站加载的 JavaScript 的潜在安全问题/限制的问题. 现在想象一下,加载的 JavaScript 只会读取/修改具有特定 id 的 div 中的文本,所以没有什么“复杂"的.一个例子:我从 http://example.com/myscript.js 加载了脚本,
..
同一个应用的不同子域能否防止 XSS 等恶意攻击?
在我的 Rails 应用程序中,我有 2 个子域, 一:members.myapp.com,这是所有成员共享的区域(他们可以在其中登录和管理他们的帐户) 二:每个成员在这样的子域上都有自己的网站:member1.myapp.com、member2.myapp.com、member3.myapp.com 等... 想象一下,user1.myapp.com在他的网站上运行了一段恶意的
..
在 Safari/WebView 中禁用 XSS 过滤器
我正在开发一个用于 XSS 检查的工具,使用 Webkit WebView 和 Macruby.这很好用,除了偶尔 Safari 的 XSS 过滤器会捕获我的 URL 并拒绝执行恶意脚本.有没有办法禁用此功能,最好以编程方式? 解决方案 所以经过一番挖掘,我找到了解决方案.WebPreferences 上有一个未记录的私有方法,称为“setXSSAuditorEnabled".所以就我而言
..
在 Rails 中转义 HTML
推荐的转义 HTML 以防止 Rails 应用程序中的 XSS 漏洞的方法是什么? 您是否应该允许用户将任何文本放入数据库但在显示时将其转义?您是否应该添加 before_save 过滤器来转义输入? 解决方案 解决这个问题有三种基本方法. 在您的视图中使用 h().这里的缺点是如果你忘记了,你就会得到 pwnd. 使用可在保存内容时对其进行转义的插件.我的插件 xss_te
..
Rails sanitize() 方法有多好?
我可以使用 ActionView::Helpers::SanitizeHelper#sanitize a> 在我计划向其他用户显示的用户输入文本上?例如,它会正确处理本网站上描述的所有情况吗? 此外,文档中提到: 请注意消毒用户提供的文本不保证结果标记是有效的(符合文件类型)或甚至形式良好.输出可能还是包含例如未转义的 '
..
params.merge 和跨站脚本
我正在使用 Brakeman 来识别安全问题.它标记了任何使用 params.merge 作为跨站点脚本漏洞的链接.我怎样才能对以下内容进行消毒? - @archives.each 做 |archive|= link_to "FTP", params.merge(:action => :ftp, :archive => archive, :recipient => "company") 解决
..