問題タブ [xss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xss - 見込み顧客にセキュリティの脆弱性を知らせますか?
私たちは潜在的なクライアントと多くのオープンな議論を行っており、彼らは現在のプロジェクトの仕事の範囲を含め、私たちの技術的専門知識のレベルについて頻繁に尋ねます. スタッフが現在使用している、または以前使用していた専門知識のレベルを測定するために私が最初に行うことは、XSS や SQL インジェクションなどのセキュリティの脆弱性をチェックすることです。脆弱な潜在的なクライアントをまだ見つけていませんが、彼らは実際にこの調査が役に立ったと考えるでしょうか、それとも「ええと、彼らと取引をしなければ、彼らは私たちのサイトを台無しにするだろう」と考えるでしょうか? ." 技術に詳しくない人は、このようなことでかなり簡単に怖がってしまうので、これは誠実さの表れなのか、それともビジネス慣行の悪さなのか疑問に思っています。
security - HTML エンコーディングはあらゆる種類の XSS 攻撃を防ぎますか?
他の種類の攻撃については心配していません。HTML Encode があらゆる種類の XSS 攻撃を防ぐことができるかどうかを知りたいだけです。
HTML エンコードが使用されている場合でも、XSS 攻撃を行う方法はありますか?
xss - クロスサイトスクリプティングのリスクなしに、fckEditorを安全に使用するにはどうすればよいですか?
このリンクは、fckEditorを使用した私のアプリへのエクスプロイトについて説明しています:http: //knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html
fckEditorを使用しながらアプリを安全にするにはどうすればよいですか?それはfckEditor構成ですか?fckEditorからテキストを取得した後、サーバー側で実行することになっている処理ですか?
fckEditorはフォーマットにhtmlタグを使用しているため、これはパズルです。そのため、テキストを表示するときにHTMLエンコードだけを行うことはできません。
php - PHP サイトで xss 攻撃を回避するためのベスト プラクティスは何ですか
マジック クォートがオンになり、レジスタ グローバルがオフになるように PHP を構成しました。
ユーザー入力から派生したものを出力する場合は、常に htmlentities() を呼び出すように最善を尽くしています。
私は時々データベースを検索して、添付されたxssで使用される一般的なものを探します...
他に何をすべきか、やろうとしていることが常に行われるようにするにはどうすればよいでしょうか。
xss - ![]()
XSS を防止しながら の使用を許可するにはどうすればよいですか?
ブログ スタイルのコメントに ASP.NET Web フォームを使用しています。
編集 1: これは、私が最初に考えたよりもはるかに複雑に見えます。src をどのようにフィルタリングしますか?
私はまだ実際の html タグを使用することを好みますが、そのように複雑になりすぎる場合は、カスタム ルートを使用する可能性があります。私はまだ XML を使ったことがないので、それについてもっと学ぶ必要がありますか?
security - Web 開発中のユーザー入力の検証には、時間の何パーセントが費やされますか?
私はWeb上で物事を開発するのが初めてです。これまでのところ、私は多くの時間 (50% 程度) を費やして、悪い人が入力フォームに sql インジェクションなどを入れてサーバー側で検証するのを防ごうとしています。これは正常ですか?
php - htmlspecialchars と mysql_real_escape_string は PHP コードをインジェクションから安全に保ちますか?
今日、 Web アプリの入力検証戦略に関する質問がありました。
執筆時点での一番の答えは、とのみを使用することを示唆してPHPいます。htmlspecialcharsmysql_real_escape_string
私の質問は: これは常に十分ですか? もっと知っておくべきことはありますか?これらの機能はどこで壊れますか?
javascript - XSS ブラックリスト - 合理的なものを知っている人はいますか?
非常に大規模なコード ベースで XSS 脆弱性の恒久的な修正に取り組んでいる間、主要なリスクを軽減するための一時的なクイック フィックスとして、XSS から保護する合理的な仕事をする既存の XSS 防止ブラックリストを探しています。
できれば正規表現のセット。テストやスモーク テストなどのチート シートがたくさんあることを認識しています。私が探しているのは、攻撃をブロックするための事前調整された正規表現です。
最善の方法は出力エスケープであるか、ホワイトリストを使用するためにユーザーからのマークアップが必要な場合であることを十分に認識しています。しかし、コード ベースのサイズが大きいため、実際のソリューションに取り組みながら、脆弱性の当面のフットプリントを減らし、ハードルを引き上げるための何かが早急に必要です。
誰か良いセットを知っていますか?
xss - HTMLアジリティパックを使用してどのようにHTMLエンコードしますか?
誰かがこれをしましたか?基本的に、h1、h2、emなどの基本的なタグを保持してhtmlを使用したい; img および a タグ内のすべての非 http アドレスを消去します。他のすべてのタグを HTMLEncode します。
HTML エンコーディングの部分で行き詰まっています。「node.ParentNode.RemoveChild(node);」を実行するノードを削除することを知っています。node はクラス HtmlNode のオブジェクトです。ただし、ノードを削除する代わりに、HTMLEncode を使用したいと考えています。
php - PHPでユーザー入力をサニタイズするにはどうすればよいですか?
特定の種類の HTML タグを許可しながら、SQL インジェクションや XSS 攻撃のユーザー入力をサニタイズするのにうまく機能するキャッチオール関数はどこかにありますか?