以前に LAMP ベースの製品に htmlpurifier を統合しましたが、少し遅かったです。最近、mod_security を有効にしました。これらは両方とも OWASP プロジェクトの一部であるため (owasp は内部で htmlpurifer を使用しており、最後に確認しました)、セキュリティが冗長であると考えています。
何を提案しますか?htmpurifier をオフにすることは実行可能なオプションですか? 回答ありがとうございます。
1 に答える
5
彼らは両方とも異なることをします。mod_securityブラックリストです。いくつかの一般的なエクスプロイト (XSS、SQL インジェクション、ディレクトリ トラバーサル、URL インジェクションなど) と過去のアプリケーションのバグをカバーしていますが、フィルターを回避するためのより精巧なエンコーディングとアプリケーション固有の方法で簡単に回避できます。(多くの場合、いくつかの URL パラメーターをプローブするだけです。)
HTMLPurifier実際には HTML のサニタイズのみをカバーしていますが、それは非常にうまく機能します。これはホワイトリスト フィルターであるため、定義上、より安全です。もちろん遅いです。これが、あらゆる場所の一般的なフィルターとしてではなく、着信データにのみ適用する必要がある理由です。アプリケーションの速度が低下する場合は、アプリケーションを間違った場所で使用している可能性があります。
于 2011-05-13T07:19:56.803 に答える