Vulnerabilidad XSS en la lista Negra - Es alguien consciente de una razonable?

Question

Temporal de la solución rápida para mitigar los principales riesgos mientras se trabaja en la solución permanente para la Vulnerabilidad de XSS en una gran base de código, estoy en busca de una pre-existente de XSS en la prevención de la lista negra que hace un trabajo razonable de protección contra XSS.

Preferiblemente un conjunto de Expresiones Regulares.Me he enterado de un montón de hojas de trucos para hacer pruebas y pruebas de humo, etc, lo que yo estoy buscando es pre-sintonizado regex para bloquear los ataques.

Soy plenamente consciente de que la mejor manera es la salida de escape o si necesitas algún tipo de marcado de los usuarios para el uso de listas blancas.Pero, con el tamaño de la base de código, necesitamos algo rápido para reducir la inmediata huella de la vulnerabilidad y aumentar la barra, mientras se trabaja en la solución real.

Es alguien consciente de que un buen juego?

Answer 1

Me doy cuenta de que esto puede no ser una respuesta directa a su pregunta, pero ASP.NET los desarrolladores en una situación similar puede resultar útil:

Microsoft Anti-Cross Site Scripting Library V1.5

Esta biblioteca se diferencia de la mayoría de las bibliotecas de codificación que utiliza el "principio de inclusiones" técnica para proporcionar protección contra los ataques XSS.Este enfoque funciona definiendo en primer lugar una válida o conjunto de caracteres permitido, y codifica nada fuera de este conjunto (caracteres no válidos o posibles ataques).El principio de inclusiones enfoque proporciona un alto grado de protección contra los ataques XSS y es adecuado para aplicaciones Web con altos requerimientos de seguridad.

Answer 2

Aquí hay uno: http://ha.ckers.org/xss.html pero no sé si es completa.

CAL9000 es otra lista donde usted podría encontrar algo así.

Answer 3

No está seguro de si va a usar PHP, pero si es así, usted debe buscar en HTMLPurifer.Es muy simple de usar;sólo añadir una llamada a la purify() método por el cual se acepte su entrada, o donde la salida de la misma.Su lista blanca enfoque basado en los bloques de cada ataque XSS lo he probado en contra.

Answer 4

La hoja de trucos en ha.ckers.org/xss.html no es completa.Un colega mío se encuentran uno o dos que no están allí.RSnake hace la lista de muchos de los filtros regex cada ataque cadena obtiene pasado.El uso de unos pocos y que se puede cerrar bastantes agujeros.

Sería un buen lugar para comenzar.Si nada más, para saber qué tipos de cosas que usted debe estar buscando.

Lo utilizan como un lugar para comenzar y asegúrate de que las secuencias de comandos escribir escapar los caracteres suficientes para hacer cualquiera de los ataques de sus listas negras de miss prestados benignos.Lo bueno es xss, inyección si no hay ningún navegador lo hace?

En realidad escapa bastante de los personajes de la derecho va más de la manera aquí.Es muy difícil para inyectar XSS en un script que convierte a todo < en un < y se escapa " en ".

Answer 5

Si ejecuta Apache podría utilizar mod_security para cerrar algunos agujeros.Al menos se le proveerá con una herramienta (el consola o un simple archivo de registro) para supervisar el tráfico y reaccionar antes de que sea demasiado tarde.También, gotroot.com tiene un par de reglas interesantes para las aplicaciones web.

Entonces de nuevo, yo realmente no sé qué tipo de agujeros que se están cerrando.

Answer 6

Lo que usted quiere es un IDS (sistema de detección de intrusos).Si estás usando PHP, hay PHPIDS.Se mantiene y probado por una excelente comunidad hacker.Ellos han estado lanzando todo tipo de cosas para mejorar los filtros, más allá de Rsnake la lista original.También hubo una .Puerto de RED en algún lugar, no estoy seguro si es que aún se mantenían.