正确的做法是坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符 。这样就能消灭绝大部分的 XSS 攻击:
<?php$searchQuery = htmlentities($searchQuery, ENT_QUOTES);或者你可以使用模板引擎 Twig,一般的模板引擎都会默认为输出加上 htmlentities 防范 。
如果你保持了用户的输入内容,在输出时也要特别注意,在以下的例子中,我们允许用户填写自己的博客链接:
<body><a href=https://www.isolves.com/it/cxkf/yy/php/2019-12-31/"">Visit Users homepage
#" onclick="alert(1)会被渲染为:<body><a href=https://www.isolves.com/it/cxkf/yy/php/2019-12-31/"#" onclick="alert(1)">Visit Users homepage永远永远不要相信用户输入的数据,或者,永远都假设用户的内容是有攻击性的,态度端正了,然后小心地处理好每一次的用户输入和输出 。<?php//delete-account.php$confirm = $_GET['confirm'];if($confirm === 'yes') {//goodbye}攻击者可以在他的站点上构建一个触发这个 URL 的表单(同样适用于 POST 的表单),或者将 URL 加载为图片诱惑用户点击:<imgsrc=https://www.isolves.com/it/cxkf/yy/php/2019-12-31/"https://example.com/delete-account.php?confirm=yes"/>用户一旦触发,就会执行删除账户的指令,眨眼你的账户就消失了 。<?php /* 你嵌入表单的页面 */ ?><form action="/delete-account.php" method="post"><input type="hidden" name="csrf" value=https://www.isolves.com/it/cxkf/yy/php/2019-12-31/"">## 请注意,这是个非常简单的示例,你可以加入更多的代码 。如果你使用的是像 Symfony 这样的 PHP 框架,那么自带了 CSRF 令牌的功能 。
你还可以查看关于 OWASP 更详细的问题和更多防御机制的文章: https://github.com/OWASP/CheatS....
4. LFILFI (本地文件包含) 是一个用户未经验证从磁盘读取文件的漏洞 。
我经常遇到编程不规范的路由代码示例,它们不验证过滤用户的输入 。我们用以下文件为例,将它要渲染的模板文件用 GET 请求加载 。
<body><?php$page = $_GET['page'];if(!$page) {$page = 'main.php';}include($page);?></body>由于 Include 可以加载任何文件,不仅仅是PHP,攻击者可以将系统上的任何文件作为包含目标传递 。
index.php?page=../../etc/passwd这将导致 /etc/passwd 文件被读取并展示在浏览器上 。
要防御此类攻击,你必须仔细考虑允许用户输入的类型,并删除可能有害的字符,如输入字符中的“.” “/” “” 。
如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件 。
我在不同的开发文档中,多次看到造成此类漏洞的 PHP 代码 。从一开始就要有清晰的设计思路,允许所需要包含的文件类型,并删除掉多余的内容 。你还可以构造要读取文件的绝对路径,并验证文件是否存在来作为保护,而不是任何位置都给予读取 。
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 有趣的arp攻击
- 婚姻出现问题如何解决 婚姻不如意
- 为了让你更放心用微波炉 我们回答了这些问题
- 找工作时特别注意什么 找工作要注意什么问题
- 腰背部问题按摩委中穴 穴位减肥
- 把关茶叶质量安全 S认证构建茶业防火墙
- eset endpoint antivirus卸载
- 空调不制冷了还嗡嗡响是咋回事,空调嗡嗡响不制冷什么问题
- 壹指阐_春茶生产在即,日照绿茶质量安全溯源管理体系建设加速度
- Docker 安装 Nginx、PHP、MySQL、Tomcat、Python、Redis、Apache
