XSS 블랙리스트 - 합리적인 것을 알고 있습니까?

Question

매우 큰 코드 기반에서 XSS 취약성에 대한 영구 수정 작업을하면서 주요 위험을 완화하기위한 임시 빠른 수정으로 XSS를 보호하는 합리적인 작업을 수행하는 기존 XSS 예방 블랙리스트를 찾고 있습니다.

바람직하게는 정규 표현 세트. 테스트 및 연기 테스트 등을위한 많은 치트 시트를 알고 있습니다. 내가 찾고있는 것은 공격을 차단하기위한 사전 조정 된 Regexp입니다.

나는 가장 좋은 방법이 있다는 것을 완전히 알고 있습니다 출력 탈출 또는 화이트리스트를 사용하려면 사용자에게 약간의 마크 업이 필요한 경우. 그러나 코드 기반의 크기를 사용하면 실제 솔루션을 작업하는 동안 취약점의 즉각적인 발자국을 줄이고 막대를 높이기 위해 빠르게 무언가가 필요합니다.

좋은 세트를 알고 있습니까?

Answer 1

나는 이것이 당신의 질문에 대한 직접적인 답이 아닐 수도 있지만, 비슷한 상황에서 ASP.NET 개발자는 이것이 유용 할 수 있습니다.

Microsoft Anti-Cross 사이트 스크립팅 라이브러리 v1.5

이 라이브러리는 XSS 공격에 대한 보호를 제공하기 위해 "포함 원칙"기술을 사용한다는 점에서 대부분의 인코딩 라이브러리와 다릅니다. 이 접근법은 먼저 유효하거나 허용 가능한 문자 세트를 정의하여 작동 하며이 세트 외부의 모든 것을 인코딩합니다 (잘못된 문자 또는 잠재적 공격). 포함의 원리 접근 방식은 XSS 공격에 대한 높은 수준의 보호를 제공하며 높은 보안 요구 사항이 높은 웹 응용 프로그램에 적합합니다.

Answer 2

여기에 하나가 있습니다 : http://ha.ckers.org/xss.html 하지만 그것이 완료되었는지 모르겠습니다.

CAL9000은 그런 것을 찾을 수있는 또 다른 목록입니다.

Answer 3

PHP를 사용하고 있는지 확실하지 않지만 그렇다면 htmlpurifer. 사용하기가 매우 간단합니다. 전화를 추가하십시오 purify() 입력을 수락하거나 출력하는 방법. 화이트리스트 기반 접근 방식은 내가 테스트 한 모든 XSS 공격을 차단합니다.

Answer 4

ha.ckers.org/xss.html의 치트 시트는 완료되지 않았습니다. 내 동료가 거기에 있지 않은 한두 가지를 발견했습니다. Rsnake는 각 공격 문자열이 지나가는 많은 Regex 필터를 나열합니다. 몇 가지를 사용하면 충분한 구멍을 닫을 수 있습니다.

좋은 출발점이 될 것입니다. 다른 것이 없다면, 어떤 종류의 것을 찾아야하는지 아는 것입니다.

그것을 시작할 장소로 사용하고 작성한 스크립트가 블랙리스트가 미스를 렌더링 할 수있는 충분한 캐릭터를 탈출 할 수 있는지 확인하십시오. 브라우저가없는 경우 XSS 주입은 무엇입니까?

실제로 올바른 캐릭터를 충분히 탈출하는 것은 대부분의 길을갑니다. XSS를 스크립트에 주입하는 것은 매우 어렵습니다. < 그리고 탈출 ".

Answer 5

Apache를 실행하면 사용할 수 있습니다 mod_security 구멍을 닫으려면. 적어도 그것은 당신에게 도구를 제공 할 것입니다 ( 콘솔 또는 일반 로그 파일) 트래픽을 모니터링하고 너무 늦기 전에 반응합니다. 또한, gotroot.com 웹 애플리케이션에 대한 몇 가지 흥미로운 규칙이 있습니다.

그런 다음 다시, 나는 당신이 어떤 종류의 구멍을 닫고 있는지 잘 모르겠습니다.

Answer 6

당신이 원하는 것은 ID (침입 감지 시스템)입니다. PHP를 사용하는 경우 있습니다 PHPID. 우수한 해커 커뮤니티가 유지하고 테스트했습니다. 그들은 Rsnake의 원래 목록을 넘어서 필터를 개선하기 위해 모든 종류의 것들을 던졌습니다. 어딘가에 .NET 포트가 있었는데, 아직 유지 관리 중인지 확실하지 않습니다.