請問一下XSS的解法

dom-based xss xss php html

jkes6203 2020-09-16 15:54:18 ‧ 2259 瀏覽

分享至

請問一下各位大大,這次使用掃弱軟體後,出現許多DOM-based漏洞如下(環境為WAMP):

<img src="https://site/images/100x100.png"
style="background-image:url
('https://site/upload/health_package_class/
3"onMouseOver=alert(4983)//
/20181211090646342.jpg');background-repeat:no- repeat;backgroundsize:contain;background-position : 50% 50%" />

<a target="_blank"href="https://site/upload/health_package_class/
3"onMouseOver=alert(4983)//
/20200422115039234.pdf">20200422115039234.pdf</a>

他的原因是:未正確地將使用者輸入值的危險字元消毒
他的修復建議是:檢查危險字元注入可能的解決方案

請問一下這種的消毒要怎麼做呢?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mike8864aabb

iT邦新手 4 級 ‧ 2020-09-17 10:34:13

最佳解答

php本身就有function可以處理了

echo htmlspecialchars(變數值,ENT_QUOTES);

第二個參數ENT_QUOTES表示連同單引號也要處理

https://www.php.net/manual/en/function.htmlspecialchars.php
會出現XSS的原因是你在頁面輸出了由「不可信的變數」組成的內容
所以在echo時，用這個function處理過，一些特殊字元都會被轉成html實體編碼

PS.通常報告會告訴你是那個變數有問題

回應 3
分享
檢舉

jkes6203 iT邦新手 5 級 ‧ 2020-09-17 11:01:07 檢舉

感謝! 已修改完成,會再請客戶資訊室那邊掃弱
順便再請教一下這個content-type也是一起出現在 XSS issue裡面的
這種要如何修改呢? 把header set content type改成其他類型
網頁都無法運作,還是只要在報告指出的問題句段修改這個問題就會消失呢

Franky Chen iT邦研究生 3 級 ‧ 2020-09-17 20:32:40 檢舉

在code的最前面echo "" 因為有東西output過就不能設header了

mike8864aabb iT邦新手 4 級 ‧ 2020-09-17 23:08:16 檢舉

應該說掃描工具是依據你header宣告為Content-Type: text/html
確認你輸出的是html的內容
遇到html，相對應就會做xss的檢查

登入發表回應

Franky Chen

iT邦研究生 3 級 ‧ 2020-09-16 16:01:45

https://tech.meituan.com/2018/09/27/fe-security.html

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

jkes6203 iT邦新手 5 級 ‧ 2020-09-16 16:06:37 檢舉

這篇在網路上有看過但是不明白那個白名單是要寫在哪邊?

Franky Chen iT邦研究生 3 級 ‧ 2020-09-16 16:10:00 檢舉

你被xss的後端code是長怎麼樣的？

jkes6203 iT邦新手 5 級 ‧ 2020-09-16 16:16:41 檢舉

<div class="form-group row">
<label class="col-md-2 form-control-label" for="text-input"></label>
<div class="col-md-6">
<img src=
"<? echo $_env["site_url"]."images/"
.$_pageenv["filename_tnfile"].".png"; ?>
" style="background-image:url
('<?echo$_env["site_upload_url"]."news/".$data["img"];
?>');background-repeat:no-repeat;background-size:contain;background-position : 50% 50%" />
</div>
</div>

第一段的

Franky Chen iT邦研究生 3 級 ‧ 2020-09-16 16:55:30 檢舉

變數用 htmlspecialchars() 處理過，因為javascript event handlers都會有 ' 或 "

jkes6203 iT邦新手 5 級 ‧ 2020-09-17 10:48:17 檢舉

感謝! 先改看看請客戶那邊的資訊室掃弱看看

jkes6203 iT邦新手 5 級 ‧ 2020-09-17 11:01:53 檢舉

順便再請教一下這個content-type也是一起出現在 XSS issue裡面的
這種要如何修改呢? 把header set content type改成其他類型
網頁都無法運作,還是只要在報告指出的問題句段修改這個問題就會消失呢

Franky Chen iT邦研究生 3 級 ‧ 2020-09-17 20:32:55 檢舉

在code的最前面echo "" 因為有東西output過就不能設header了

登入發表回應

小魚

iT邦大師 1 級 ‧ 2020-09-17 00:47:20

看起來是圖片名稱有問題,
我的圖片名稱都是自己命名的.

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

jkes6203 iT邦新手 5 級 ‧ 2020-09-17 10:12:43 檢舉

請問一下是甚麼問題呢? 自己命名又該怎麼命名比較不會發生這類問題

小魚 iT邦大師 1 級 ‧ 2020-09-17 12:50:52 檢舉

自己命名當然不會被置入,
我通常是用GUID來命名..

mike8864aabb iT邦新手 4 級 ‧ 2020-09-17 23:34:29 檢舉

白箱/源碼掃描的話，guid也不一定能過喔，
在檢查頁面流程時，不會去管你的值長啥樣，
而是你做了那些防範處理

小魚 iT邦大師 1 級 ‧ 2020-09-17 23:46:48 檢舉

mike8864aabb
但是這樣用就不會有XSS攻擊了啊,
至少不會出現在圖片.

mike8864aabb iT邦新手 4 級 ‧ 2020-09-17 23:59:44 檢舉

小魚
你知道不會，但白箱掃描就是他不會知道你的值是什麼，
所以在流程上一定要求你做到xss的防範

我們曾遇到把變數的值都寫死了，還能產出XSS的風險
而且客戶用的是要很多$$才買的起的掃描工具

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22203 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙