Черный список XSS. Кто-нибудь знает разумный?
https://stackoverflow.com/questions/120189
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
В качестве временного быстрого решения для снижения основного риска при работе над постоянным исправлением уязвимости XSS в очень большой базе кода я ищу уже существующий черный список предотвращения XSS, который выполняет разумную работу по защите от XSS.
Предпочтительно набор регулярных выражений.Мне известно множество шпаргалок для тестирования, дымовых тестов и т. д. Я ищу предварительно настроенные регулярные выражения для блокировки атак.
Я полностью осознаю, что лучший способ вывод вывода или если вам нужна разметка от пользователей для использования белого списка.Но, учитывая размер базы кода, нам нужно что-то быстрое, чтобы уменьшить непосредственный след уязвимости и поднять планку, работая над реальным решением.
Кто-нибудь знает хороший набор?
Решение
Я понимаю, что это может быть не прямой ответ на ваш вопрос, но разработчики ASP.NET в аналогичной ситуации могут найти это полезным:
Библиотека Microsoft Anti-Cross Site Scripting V1.5
Эта библиотека отличается от большинства библиотек кодирования тем, что она использует технику «принципа включения» для обеспечения защиты от XSS-атак.Этот подход работает путем определения допустимого или допустимого набора символов и кодирования всего, что находится за пределами этого набора (недопустимые символы или потенциальные атаки).Принцип включения обеспечивает высокую степень защиты от XSS-атак и подходит для веб-приложений с высокими требованиями к безопасности.
Другие советы
Вот один из них: http://ha.ckers.org/xss.html но я не знаю, полный ли он.
CAL9000 — еще один список, где можно найти что-то подобное.
Не уверен, используете ли вы PHP, но если да, вам следует посмотреть HTMLОчиститель.Он чрезвычайно прост в использовании;просто добавьте звонок в purify() метод, в котором вы принимаете вводимые данные или выводите их.Его подход на основе белых списков блокирует все XSS-атаки, с которыми я его тестировал.
Шпаргалка на ha.ckers.org/xss.html неполная.Мой коллега нашел один или два, которых там нет.RSnake перечисляет множество фильтров регулярных выражений, через которые проходит каждая строка атаки.Используйте несколько, и вы сможете закрыть достаточно дыр.
Это было бы хорошей отправной точкой.По крайней мере, чтобы знать, какие вещи вам нужно искать.
Используйте его как отправную точку и убедитесь, что в написанных вами сценариях экранируется достаточно символов, чтобы любые атаки, которые пропускаются вашими черными списками, были безобидными.Какая польза от внедрения xss, если ни один браузер не отображает его?
На самом деле здесь большую часть пути занимает побег от достаточного количества нужных персонажей.Довольно сложно внедрить XSS в скрипт, который превращает каждый < в < и убегает «в ".
Если вы используете Apache, вы можете использовать mod_security чтобы закрыть некоторые дыры.По крайней мере, это предоставит вам инструмент ( консоль или простой файл журнала), чтобы отслеживать трафик и реагировать, пока не стало слишком поздно.Также, gotroot.com есть пара интересных правил для веб-приложений.
Опять же, я действительно не знаю, какие дыры вы закрываете.
Вам нужна IDS (система обнаружения вторжений).Если вы используете PHP, есть PHPIDS.Он поддерживается и тестируется отличным хакерским сообществом.Они приложили все усилия, чтобы улучшить фильтры, выходя далеко за рамки первоначального списка Rsnake.Где-то также был порт .NET, но я не уверен, поддерживается ли он до сих пор.
