القائمة السوداء لـ XSS - هل يعرف أي شخص وجود قائمة معقولة؟
https://stackoverflow.com/questions/120189
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
كحل سريع مؤقت للتخفيف من المخاطر الرئيسية أثناء العمل على الإصلاح الدائم لثغرة XSS في قاعدة تعليمات برمجية كبيرة جدًا، أبحث عن قائمة سوداء لمنع XSS موجودة مسبقًا والتي تؤدي مهمة معقولة للحماية من XSS.
ويفضل مجموعة من التعبيرات العادية.أنا على دراية بالكثير من أوراق الغش للاختبار واختبارات الدخان وما إلى ذلك، وما أبحث عنه هو التعبيرات العادية المضبوطة مسبقًا لمنع الهجمات.
وأنا أدرك تماما أن أفضل طريقة هي هروب الإخراج أو إذا كنت بحاجة إلى بعض الترميز من المستخدمين لاستخدام القائمة البيضاء.ولكن، مع حجم قاعدة التعليمات البرمجية، نحتاج إلى شيء سريع لتقليل الأثر الفوري للثغرة الأمنية ورفع المستوى أثناء العمل على الحل الحقيقي.
هل هناك من يعرف مجموعة جيدة؟
المحلول
أدرك أن هذا قد لا يكون إجابة مباشرة على سؤالك، ولكن مطوري ASP.NET في موقف مماثل قد يجدون هذا مفيدًا:
مكتبة البرمجة النصية لمواقع Microsoft المضادة للتقاطع V1.5
تختلف هذه المكتبة عن معظم مكتبات التشفير من حيث أنها تستخدم تقنية "مبدأ التضمين" لتوفير الحماية ضد هجمات XSS.يعمل هذا الأسلوب أولاً عن طريق تحديد مجموعة صالحة أو مسموح بها من الأحرف، وترميز أي شيء خارج هذه المجموعة (أحرف غير صالحة أو هجمات محتملة).يوفر مبدأ مبدأ التضمين درجة عالية من الحماية ضد هجمات XSS وهو مناسب لتطبيقات الويب ذات المتطلبات الأمنية العالية.
نصائح أخرى
هنا واحد: http://ha.ckers.org/xss.html ولكن لا أعرف إذا كانت كاملة.
CAL9000 هي قائمة أخرى حيث يمكنك العثور على شيء من هذا القبيل.
لست متأكدًا مما إذا كنت تستخدم PHP، ولكن إذا كان الأمر كذلك، فيجب عليك إلقاء نظرة عليه HTMLPurifer.إنه سهل الاستخدام للغاية؛فقط قم بإضافة مكالمة إلى purify() الطريقة التي تقبل فيها مدخلاتك، أو حيث تقوم بإخراجها.يحظر أسلوبه القائم على القائمة البيضاء كل هجوم XSS قمت باختباره ضده.
ورقة الغش الموجودة على ha.ckers.org/xss.html ليست كاملة.عثر أحد زملائي على واحد أو اثنين غير موجودين هناك.يقوم RSnake بإدراج العديد من مرشحات regex التي تتجاوزها كل سلسلة هجوم.استخدم عددًا قليلًا وقد تغلق ما يكفي من الثقوب.
سيكون مكانًا جيدًا للبدء.إذا لم يكن هناك شيء آخر، لمعرفة أنواع الأشياء التي تحتاج إلى البحث عنها.
استخدمه كمكان للبدء وتأكد من أن البرامج النصية التي تكتبها تتخلص من عدد كافٍ من الأحرف لجعل أي هجمات تفوتها قوائمك السوداء حميدة.ما الفائدة من حقن xss إذا لم يعرضه أي متصفح؟
في الواقع، فإن الهروب من عدد كافٍ من الشخصيات الصحيحة يقطع معظم الطريق هنا.من الصعب جدًا إدخال XSS في برنامج نصي يحول كل < إلى ملف a < ويهرب" إلى ".
إذا قمت بتشغيل Apache فيمكنك استخدامه mod_security لإغلاق بعض الثقوب.على الأقل سيوفر لك أداة ( وحدة التحكم أو ملف سجل عادي) لمراقبة حركة المرور والرد قبل فوات الأوان.أيضًا، gotroot.com لديه بعض القواعد المثيرة للاهتمام لتطبيقات الويب.
ثم مرة أخرى، لا أعرف حقًا نوع الثقوب التي تغلقها.
ما تريده هو IDS (نظام كشف التسلل).إذا كنت تستخدم PHP، فهناك PHPIDS.تمت صيانته واختباره بواسطة مجتمع قراصنة ممتازين.لقد قاموا بكل أنواع الأشياء لتحسين المرشحات، بما يتجاوز قائمة Rsnake الأصلية.كان هناك أيضًا منفذ .NET في مكان ما، لست متأكدًا مما إذا كان لا يزال قيد الصيانة.
