0

お問い合わせフォームを確認すると、クロスサイトスクリプティングの脆弱性が見つかりましたが、これを修正する方法について十分な知識がありません。

影響を受けるパラメータ:名前使用されるベクトル: "> alert(document.cookie)見つかったパターン:\"> alert(document.cookie)完全な攻撃:/ http:// ############### ### / contact.php [name = \ "> alert(document.cookie)&email =&message =]

影響を受けるパラメータ:email使用されるベクトル: "> alert(document.cookie)検出されたパターン:\"> alert(document.cookie)完全な攻撃:/ http:// ############### ### / contact.php [name =&email = \ "> alert(document.cookie)&message =]

影響を受けるパラメータ:メッセージ使用されるベクトル: "> alert(document.cookie)パターンが見つかりました:\" "> alert(document.cookie)完全な攻撃:/ http:// ############### ### / contact.php [name =&email =&message = \ "> alert(document.cookie)]

私の現在のフォームコードは次のようになります

<?php 
if (isset($_POST['submit'])) { 
    $error = ""; 

    if (!empty($_POST['name'])) { 
        $name = $_POST['name']; 
        if (!preg_match('/^[a-zA-Z0-9]+$/i', $name)){  
            $error .= "The name you entered is not valid. <br/>"; 
        } 
    } else { 
        $error .= "You didn't type in your name. <br />"; 
    } 

    if (!empty($_POST['email'])) { 
        $email = $_POST['email']; 
        if (!preg_match("/^[_a-z0-9]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$/i", $email)){  
            $error .= "The e-mail address you entered is not valid. <br/>"; 
        } 
    } else { 
        $error .= "You didn't type in an e-mail address. <br />"; 
    } 

    if (!empty($_POST['messagesubject'])) { 
        $messagesubject = $_POST['messagesubject']; 
    } else { 
        $error .= "You didn't type in a subject. <br />"; 
    } 

    if (!empty($_POST['message'])) { 
        $message = $_POST['message']; 
    } else { 
        $error .= "You didn't type in a message. <br />"; 
    } 

    if(($_POST['code']) == $_SESSION['code']) {  
        $code = $_POST['code']; 
    } else {  
        $error .= "The captcha code you entered does not match. Please try again. <br />";     
    } 

    if (empty($error)) { 
        $from = 'From: ' . $name . ' <' . $email . '>'; 
        $to = "aaron@fosternetwork.co.uk"; 
        $subject = strip_tags("CWS - Contact Us - \n" . $messagesubject); 
        $content = strip_tags("Name: " . $name . "\nSubject: " . $messagesubject . "\nMessage: \n" . $message); 
        $success = "<h2>Thank you! <span>Your message has been sent!</span></h2>"; 
        mail($to,$subject,$content,$from); 
        $emailSent = true; 
    } 
} 
?> 


<form action="contact.php" method="post"> 

    <label>Name:</label> 
    <input type="text" name="name" value="<?php if ($_POST['name']) { echo $_POST['name']; } ?>" /> 

    <label>Email:</label> 
    <input type="text" name="email" value="<?php if ($_POST['email']) { echo $_POST['email']; } ?>" /> 

    <label>Subject:</label> 
    <input type="text" name="messagesubject" value="<?php if ($_POST['messagesubject']) { echo $_POST['messagesubject']; } ?>" /> 

    <label>Message:</label><br /> 
    <textarea name="message" rows="20" cols="20"><?php if ($_POST['message']) { echo $_POST['message']; } ?></textarea> 

    <label>Please input the following code: <img src="captcha.php"></label> 
    <input type="text" name="code"> <br />  

    <button type="submit" class="colorButton" name="submit" value="Send message">Send Message</button> 

</form>

どんな助けでも本当にありがたいです。

4

3 に答える 3

1

HTML生成には欠陥があります。

 value="<?php if ($_POST['name']) { echo $_POST['name']; } ?>"

常に出力変数をエスケープする必要があります。つまり、次のようになります。

 value="<?php if ($_POST['name']) { echo htmlspecialchars($_POST['name']); } ?>"

参照:htmlspecialchars()またはhtmlentities()

于 2012-10-22T01:31:13.930 に答える
0

ユーザー入力を絶対に信用しないでください。システムに害を及ぼす可能性のあるJavaScriptコードを挿入する可能性があります。そのため、クロスサイトスクリプティングに対して脆弱であり、この関数で投稿された入力をサニタイズします。

function xss_protect($data, $strip_tags = false, $allowed_tags = "\"\'") { 
if($strip_tags) {
    $data = strip_tags($data, $allowed_tags . "<b>");
}

if(stripos($data, "script") !== false) { 
    $result = str_replace("script","scr<b></b>ipt", htmlentities($data, ENT_QUOTES,"UTF-8")); 
} else { 
    $result = htmlentities($data, ENT_QUOTES, "UTF-8"); 
} 

return $result;
}

たとえば、関数を使用するには、次のように使用します。

$code = xss_protect($_POST['code']);
于 2012-10-22T01:25:22.887 に答える
0

たとえば、いくつかの優れたプログラミング手法を使用する必要があります。

変数を初期化してください。そうすれば、常に印刷するものがあり、デバッグすると、多くの単純ですが、それについて厄介なエラーが発生します。

$name = false;
$email = false;
$message = false;
$messagesubject = false;

たとえば$_POSTから新しい値を取得する場合は、データを変更します。このようにすると、特定のフィールドのデータがない場合にスクリプトで作業が回避されるだけでなく、スクリプトのフローとデータの検証を簡単に制御できます。

if ( isset( $_POST['name'] ) !== false ) {
    // validate the content
    $name = process_you_choose_to_clean( $_POST['name'] );
}
if ( isset( $_POST['email'] ) !== false ) {
    // validate the content
    $name = process_you_choose_to_clean( $_POST['email'] );
}
if ( isset( $_POST['message'] ) !== false ) {
    // validate the content
    $name = process_you_choose_to_clean( $_POST['message'] );
}
if ( isset( $_POST['messagesubject'] ) !== false ) {
    // validate the content
    $name = process_you_choose_to_clean( $_POST['messagesubject'] );
}

html部分の乱雑なコードは避けてください。前に述べたことを処理すれば、このようなコードは完全に機能します。

<input type="text" name="name" value="<?php { echo( $name ); } ?>" />

サニタイズについては、前述のオプションを検討し、さらにPHPのfilter_varオプションを使用してください

于 2012-10-22T01:46:57.433 に答える