問題タブ [xss]

XSS、画像の挿入、作品など、いたずらなものを取り除く方法がPerlに必要です。

HTML :: StripScriptsを見つけましたが、2年近く更新されておらず、すべての新しいエクスプロイトについて最新ではありません。

安全ですか？

他にどのようなマークアップ言語（Perl）を使用しますか？

Web アプリケーションの現在の傾向は、すべてに GET リクエストを使用する傾向にあるようです。具体的には、サービス、コマンド、およびそのパラメーターを記述する RESTful URL を使用します。数か月前、Jeff Atwood が XSS の危険性について投稿しました。彼は、「img」タグのように一見無害に見えるものをユーザーがサイトに投稿できるようにしても、XSS 脆弱性が発生する可能性があることを示しました。その理由は、ブラウザーがやみくもに「src」属性の URL を要求するためです。これは、ユーザーのログアウトなど、単に迷惑なことや、もっと不吉なことを行う可能性があります。

10 年前に初めて Web 開発を始めたとき、従来の知恵では、フォームには常に GET よりも POST を優先し、サーバー側のアプリケーションではフォームの送信に POST を要求するようにしていました。まさにこの理由からです。ブラウザーは常に GET 要求を送信しますが (前述の "img" タグの例のように)、特定の状況 (具体的には、"method" 属性が POST に設定されたフォーム) でのみ POST 要求を送信します。POST を要求することで、XSS 攻撃の大部分を排除できるようです。これはそれらを好む正当な理由ですか？

クロス サイト スクリプティング (xss) が適切でなく、ほとんどのブラウザーでサポートされていないことを理解しています。ただ、社内で3、4人くらいしか使わないページを作っています。このページには別のドメインからのフレームがあり、そのフレーム内の値にアクセスできるようにするには親ページが必要です。

私の質問は、Firefox または IE7 でこれを可能にする方法 (設定の変更など) はありますか? できれば (必ずしもそうとは限りませんが) 設定の変更は、私のドメインに対して明示的に行われます。

FF でこれを許可するには、capability.policy を追加できるというヘルプをオンラインで見つけました。FF3 ではサポートされていない可能性があります。

HTMLをサーバーに渡すリッチテキストエディターがあります。そのHTMLは他のユーザーに表示されます。そのHTMLにJavaScriptが含まれていないことを確認したいと思います。これを行う方法はありますか？

また、それが役立つ場合は、ASP.NETを使用しています。

C# 正規表現を使用して、Web 入力で許可されている文字のホワイトリストを実装する際に、いくつかの問題に遭遇しました。SQL インジェクションと XSS 攻撃を回避しようとしています。許可された文字のホワイトリストが進むべき道であることを読みました。

入力は人名と会社名です。

問題のいくつかは次のとおりです。

1. アンパサンドを含む会社名。「ジム＆サンズ」みたいな。アンパサンドは重要ですが、危険です。

2. 名前に Unicode 文字を使用 (たとえば、アジアの顧客がいます)。文字セットを使用して名前を入力します。これらすべてをホワイトリストに登録する必要があります。

3. 会社名には、「S/A」や「S\A」など、あらゆる種類のスラッシュを含めることができます。それらは危険ですか？

DB に既にある (そして新しいユーザーによって入力されている) すべてのデータを確認した後、ほぼすべての文字を許可したいと思っています。

これら (およびその他) の問題を処理する適切なホワイトリストに関する提案はありますか?

注: これはレガシー システムであるため、すべてのコードを制御することはできません。そもそも不正なデータがシステムに侵入するのを防ぐことで、攻撃の数を減らしたいと考えていました。

私はMicrosoft の AntiXss LibraryJavaScriptEncodeを使用してきましたが、そのメソッドが結果を一重引用符で囲む正当な理由があるかどうか疑問に思っていましたか? その振る舞いは型にはまらないようです。

ユーザーがリモートコンピューターで基本的なファイルシステム操作 (ファイル/ディレクトリの作成、ファイル/ディレクトリの削除、ファイルシステムのナビゲート) を操作して実行できる Web ページを作成しています。Webページは基本的なHTML(UTF-8エンコーディング)とJavascriptです。この Web ページを XSS 証明する必要があります。

ユーザー入力 (DOM ベースの XSS から保護するため) とファイル名情報 (保存された XSS から保護するため) のすべての英数字以外の文字を Javascript を使用してエスケープする (これはパーセントでエンコードされた 16 進値を出力する) で十分でしょうか?

基本的に、英数字の入力のみをホワイトリストに登録しています。また、パーセントでエンコードされた 16 進値を使用しているため、UTF エンコーディングの脆弱性は存在しないはずです。

このメカニズムのセキュリティの抜け穴を思いつく人はいますか?

私は自分の大学で XSS レポートを作成しており、AJAX を使用して外部 Web ページを呼び出していくつかのテストを行っています。

この例で使用しているコードは非常に単純です。目標とするケーススタディの 1 つは、クロス サイトを無効にして AJAX 経由で外部の Web ページを呼び出せるようにすることです。

ノート：

これは FireFox でのみ使用する予定であり、IE の互換性については心配していません。

ここでの問題は、例外がキャッチされないことです。制限された URI へのアクセスが拒否されました (NS_ERROR_DOM_BAD_URI)がスローされます。私は周りを検索してきましたが、これを回避するために見つけた最良の情報はjsonでjqueryを使用することでしたが、それは私には合いません.別の例はthis one (in french)でした.

誰でもこれを行う方法を説明できますか? それとも、同じオリジンポリシーのために解決できないだけですか?

編集：

誰かが知っている場合、Google は Google アナリティクスを通じてどのように値を投稿しますか? または、この問題は get でのみ発生し、post では発生しませんか? いくつかの助けがいいでしょう。

文字列から XSS コードを削除する、HTMLPurifier のようなライブラリに相当する Javascript はありますか?