Új hozzászólás Aktív témák

• #20831 Taci addikt Taci #20784

  Új Válasz 2021-09-27 17:19:11 #20831

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Taci

  addikt

  válasz Taci #20784 üzenetére

  Amit terveztem, és ami idő közben még képbe került az XSS elleni védelemben, azzal nagyjából készen vagyok (ezer köszönet a sok segítségért, sztanozs!), összeállt a függvény.

  Ki szeretném kérni a véleményeteket, hogy van-e még esetleg valami aspektus, amit nem vizsgálok, és kellene / jó lenne / megérné.

  A témában az utóbbi napokban/hetekben átolvasott cikkek, átnézett YT-videók alapján összeszedtem egy példa listát, hogy mik ellen kell leggyakrabban védekezni, milyen támadások/próbálkozások érhetnek. Ezt kiegészítettem még ebből a listából azokkal, amiket úgy láttam, korábban még csak hasonlót sem próbáltam: XSS Vectors Cheat Sheet.

  Jelenleg csak keresőmezőben van user inputom, azt első körben kliens oldalon validálom, de persze megkerülhető, szóval azt a kérelmet ezen is végig ellenőriztetem.
  Ezen kívül RSS-ekből érkező következő 3 típusú tartalmat vizsgálok vele:
  - title (cím)
  - description (rövid leírás)
  - link (weblap és kép)

  Így néz ki a függvény, lépésről lépésre:

  0. lépés (a függvény hívása előtt): html_entity_decode($abc, ENT_QUOTES);

  1. Ha van találat a &# párosra, akkor preg_replace használatával kiegészíteni az esetlegesen hiányzó pontosvesszőt (by sztanozs)
  2. Pár példában az unicode kódolással kapcsolatban is találatot, így vizsgálom az u+ és \u találatokat. Ha van találat, mb_convert_encoding segítségével dekódolás.
  3. Rákeresek a < karakter összes lehetséges formájára, és ha megtalálta, <-re cseréli.
  4. Ha linket ellenőriz, rákeres pár előre beállított, nem linkbe illő karakterre, pl. ( ) \ ; , < > { }  @ $ aztán még a különböző féle aposztrófokra és idézőjelekre is. ' " ‘ ’ ” “. Itt csak logbejegyzést csinálok egyelőre, hogy vizsgáljam, hogyan működik. Ha a megfelelő találatokat ez is jól szűri, akkor már ez is átbillentheti az xss_found-kapcsolót.
  5. Aztán ezeket a nem normál idézőjeleket és aposztrófokat a "normál" változatukra cseréltetem.
  6. Ugyanígy a \n-t és \r-t (és máshogy kódolt változatukat is) is lecserélem, de üres sztringre. Ugyanígy a &Tab-ot és a null karaktert is \0.
  7. Ezek után van egy nagyon hosszú lista, amiben a "dirty content" van listázva. Ezekre a kifejezésekre keresek, és ha bármelyikre találat van, átbillent egy változóértéket, és az adott komplett bejegyzés skippelve lesz. A listában az összes HTML tag benne van, illetve az összes event handler is (pl. onError). Plusz persze a "javascript", "script", "noscript" stb. stb sztringek is. Az összes, amit a példákon keresztül támadhatónak láttam, és amiknek semmi helyük se egy linkben, se egy normál szövegben (cím, leírás). (Ha mégis fals pozitív találat lenne, majd külön kezelem.)
  8. Ha linket vizsgál, és nincs dirty content-re találat, akkor a biztonság kedvéért megvizsgálom még filter_var segítségével (FILTER_VALIDATE_URL).

  Ez a függvény tartalma. Ezután a korábban már megírt és használt processzek vannak, ahol még a linkkel kapcsolatban fontos, hogy ha a protokol csak http, akkor kiegészíti https-re, ellenőrzi, hogy valid-e, és ha igen, https-ként tárolja, amúgy skippeli.

  Ami átment minden szűrőn, az így lesz (_decode-dal) tárolva. Megjelenítésre pedig minden esetben minden érték htmlspecialchars($xyz, ENT_QUOTES); használatával lesz átadva.

  Lehet, erősen overkill, de az is lehet, hogy hiányzik még valami, amit nem vettem észre, hogy figyelni kellene. Lehet, soha senki nem fog "megtámadni", de jobb félni és felkészülni.

  Van esetleg még valami, amire figyelnem kellene?
  Köszönöm.

• #20785 sztanozs veterán Taci #20784

  Új Válasz 2021-09-12 16:06:14 #20785

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  válasz Taci #20784 üzenetére

  Ha html tagbe illesztesz be, akkor mindent célszerű kódolni, ami nem lehet URL-ben...
  Itt olvasgass utána: [link], [link]

Új hozzászólás Aktív témák