問題タブ [owasp]

私は多くの検索を行い、PHP $_SERVER docsも読みました。サイト全体で使用される単純なリンク定義用の PHP スクリプトに使用するものに関して、私にはこの権利がありますか?

$_SERVER['SERVER_NAME']Web サーバーの構成ファイル (私の場合は Apache2) に基づいており、(1) VirtualHost、(2) ServerName、(3) UseCanonicalName などのいくつかのディレクティブによって異なります。

$_SERVER['HTTP_HOST']クライアントからのリクエストに基づいています。

したがって、スクリプトを可能な限り互換性のあるものにするために使用する適切なものは$_SERVER['HTTP_HOST']. この仮定は正しいですか？

フォローアップ コメント:

$_SERVERこの記事を読んで、一部の人々が「どのvarsも信用しないだろう」と言ったことに気付いた後、私は少し偏執症になったと思います。

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/reserved.variables.server.php#89567 (コメント: Vladimir Kornea 14-Mar-2009 01:06)

どうやら議論は主に$_SERVER['PHP_SELF']、XSS攻撃を防ぐために適切にエスケープせずにフォームアクション属性でそれを使用すべきではない理由についてです。

上記の最初の質問に対する私の結論は$_SERVER['HTTP_HOST']、フォームで使用されている場合でも、XSS 攻撃を心配することなく、サイト上のすべてのリンクに使用しても「安全」であるということです。

私が間違っている場合は、私を修正してください。

• SQL インジェクションの検出に役立つライブラリの使用を検討しています。

  • sprocs とパラメーター化されたステートメントを使用していますが、この投稿のために、ユーザー入力を検出/検証する一部のライブラリのみを使用しています。

一番いいのは？実装が最も簡単ですか？更新/管理が最も簡単ですか? どちらかを優先するのはなぜですか？

余談ですが：

Owaspを使い始めたばかりです。C#で。検証中にデフォルトのルールが増えることを期待していました。isValid 関数を使用する場合、デフォルトのルールは 5 つだけです。

CREDIT_CARD -- クレジット カード検証ルールのルール名キー。DATE -- 日付検証ルールのルール名キー。DOUBLE -- 二重検証ルールのルール名キー。INTEGER -- 整数検証ルールのルール名キー。PRINTABLE -- 印刷可能な検証ルールのルール名キー。

文字列 SQL インジェクション検出のデフォルト ルールが増えることを期待していました。

ありがとう

OWASP サイトを読んでいるときに、ページに出くわしました

www.owasp.org/index.php/Category:対策

と

www.owasp.org/index.php/Category:Control .

私の質問は簡単です: 2 つの違いは何ですか?

もっと情報があればわかると思いますが、今のところどちらも、攻撃を検出、抑止、または拒否するために使用されるものであると述べているようです.

私は人々がこのように投票できるウェブサイトを持っています:

これにより、アイテム 25 に投票が行われます。これは、登録ユーザーのみが利用できるようにしたいと考えています。今では、誰かがウェブサイトで忙しくしていることを知り、誰かが次のようなリンクを提供します:

その後、投票は、彼がこれをしたくなくても、アイテムに彼のための場所になります.

OWASP の Web サイトの説明を読みましたが、よくわかりません。

これはCSRFの例ですか、どうすればこれを防ぐことができますか? 私が考えることができる最善のことは、ハッシュのようなものをリンクに追加することです. しかし、これはすべてのリンクの最後に何かを配置するのは非常にイライラします。これを行う他の方法はありませんか。

ウェブサイトは私にはかなり曖昧に見えるので、誰かがこれの他の例を教えてくれるかもしれません.

応答なしでHTTP接続をドロップしたい理由は多くのセキュリティ上の理由があります（たとえば、OWASPのSSLのベストプラクティス）。これらがサーバーレベルで検出できる場合、それは大したことではありません。ただし、この状態をアプリケーションレベルでしか検出できない場合はどうなるでしょうか。

Rails、またはより一般的にはRackには、応答なしで接続を切断するようにサーバーに指示する標準的な方法がありますか？そうでない場合は、一般的なWebサーバー（NginxまたはApacheを考えています）でそれを実現するために渡す標準ヘッダーはありますか？標準ヘッダーがない場合でも、その動作を構成するための合理的な方法はありますか？これはばか者の用事ですか？

2007 年と2010 年のOWASP トップ 10 リストを見ていきます。

私はクロス サイト リクエスト フォージェリ (CSRF) に出くわしました。

これに対する解決策は、すべての URL にトークンを追加することであり、このトークンはすべてのリンクに対してチェックされます。

たとえば、製品 x に投票する場合、URL は次のようになります。

ハッカーはトークンを推測できないため、これは確実な解決策のように見えます。

しかし、私は次のシナリオを考えていました（それが可能かどうかはわかりません）：

非表示の iFrame または div を使用して Web サイトを作成します。その後、通常の iFrame または ajax を使用して、私の Web サイトを読み込むことができます。

自分の Web サイトを Web サイト内に隠してロードし、ユーザーがセッションを保存している場合、次のことができます。URLS からトークンを取得し、必要なすべてのアクションを実行できます。

このようなことは可能ですか？または、このクロスドメインを行うことはできませんか。

（ OWASP Regex Repository ）からのさまざまなデータ型を検証するための正規表現を見ていました。

そこにある正規表現の 1 つが呼び出されsafetext、次のようになります。

私の最初の質問は次のとおり
です。この正規表現は正しいですか?

補足的な質問
この正規表現リポジトリがまったく良い場合は?

更新
私は主にエスケープされていないことに興味があります.

SQL インジェクションの欠陥に対する典型的な制御は、バインド変数 (cfqueryparam タグ)、文字列データの検証、および実際の SQL レイヤーのストアド プロシージャを使用することです。これはすべて問題なく、同意しますが、サイトがレガシー サイトであり、多くの動的クエリを備えている場合はどうでしょうか。次に、すべてのクエリを書き直すのは非常に困難な作業であり、回帰テストとパフォーマンス テストに長期間を費やす必要があります。実際の実行のために cfquery を呼び出す前に、動的 SQL フィルターを使用してそれを呼び出すことを考えていました。

CFLib.org ( http://www.cflib.org/udf/sqlSafe )で 1 つのフィルターを見つけました。

これは非常に単純なフィルターのようですが、それを改善する方法やより良い解決策を考え出す方法があるかどうか知りたいですか?

最近のPCI監査中に、監査人は、次の理由でセキュリティ上の大きなリスクがあると述べました。

1. 事前の認証なしで、画像cssやjavascriptなどの静的リソースを当社のWebサイトからダウンロードすることが可能でした。
2. 私たちのJavaScriptにはコメントが含まれていました。

個人的には、これはセキュリティ上のリスクではないと思います。画像cssとjavascriptは動的に作成されておらず、バックエンド、顧客の詳細、メカニズムに関するデータは含まれていません。

javascript内のコメントは、javascriptファイルのメソッドが何をしたかを単に説明しているだけです。とにかく、JSを読んだ人なら誰でも知ることができたでしょう。

それは「情報漏えい」をどのように示していますか？

javascript内のコメントは本当にセキュリティリスクですか？

インジェクション、XSS、CSRF などの OWASP 上位 10 のセキュリティ脆弱性を防ぐために、ASP.Net に最適な再利用可能なライブラリと組み込み機能、およびテスト チームが使用するこれらの脆弱性を検出するための使いやすいツールを探しています。

開発ライフ サイクルの中で、セキュリティ コーディングをアプリケーションに組み込み始めるのに最適な時期はいつだと思いますか?