問題タブ [xss]

SQL インジェクションと XSS について読んだとき、これらの脆弱性やその他の脆弱性を識別するために使用できる単一の文字列があるかどうか疑問に思っていました。

そのフィールドが安全かどうかをブラックボックスチェックするために Web サイトデータベースにスローされる可能性のある文字列。(いくつかの社内ツールで大規模なテストを行う予定です)

大まかな例ですが、もっと知っているかどうか疑問に思っていますか?

「a」または「1」=「1」

"center'> < script>alert('test')</ script>"

編集：SOで素敵なXSSの質問が見つかりました

標準の ASP.net アプリケーションでは、ASP.net は、危険な入力エラーを検出しようとした場合に、validateRequest をスローして XSS 攻撃からある程度の保護を提供しました。この機能は MVC から取り出されたようですが、その理由は何ですか?

他の Web ページへの "通常の" href リンクを許可したいのですが、クライアント側のスクリプトに誰かが忍び込むことを許可したくありません。

HREFおよびonclick/onmouseover/etc内で「javascript:」を検索しています。イベントは十分ですか？それとも他に確認することはありますか？

Web サイトから別のドメインでホストされている REST Web サービスに AJAX 要求を行う必要があります。

これは Internet Explorer では問題なく動作しますが、Mozilla や Google Chrome などの他のブラウザーでは、クロスサイト AJAX 要求を禁止する、はるかに厳しいセキュリティ制限が課されます。

問題は、サイトがホストされているドメインや Web サーバーを制御できないことです。これは、REST Web サービスを別の場所で実行する必要があり、リダイレクト メカニズムを配置できないことを意味します。

非同期呼び出しを行う JavaScript コードは次のとおりです。

Internet Explorer 以外の他のブラウザーでこれを機能させるにはどうすればよいですか?

このようなツールがどのようにして中央サイトに ajax スタイルのコールバックを行うことができるのでしょうか? つまり、このウィジェットでは、現在表示しているページについてメールを送信するように要求することができます。これにより ajax が作成されると思います。メールを送信した人がこれを共有するためにコールバックをスタイルします. しかし、サーバー上のプロキシなしで、ブラウザがXSSエクスプロイトとしてブロックすることなく、どうすればこれを行うことができるでしょうか?

これに関する回答は大歓迎です。ご協力いただきありがとうございます。Flickr API を使用しても同じ課題が生じると思いますか?

タイトルからのリンク : http://sharethis.com/

含まれている任意の Web サイトで動作する Javascript コードを提供したいのですが、Javascript がホストされているサーバーで常により多くのデータを取得する (またはデータを変更する) 必要があります。明らかな理由でセキュリティ上の制限が設けられていることは知っています。

以下を含む xyz.com でホストされている index.html を検討してください。

some.js は XMLHttpRequest を使用してデータを abc.com に投稿できますか? つまり、abc.com から Javascript をロードしたので、abc.com は暗黙的に信頼されているのでしょうか?

XSS セーフのブログ エンジンでコメントを作成しようとしています。さまざまなアプローチを試しましたが、非常に難しいことがわかりました。

コメントを表示するときは、まずMicrosoft AntiXss 3.0を使用してすべてを html エンコードします。次に、ホワイトリスト アプローチを使用して安全なタグを html デコードしようとしています。

refactormycode の Atwood の「HTML のサニタイズ」スレッドで、 Steve Downing の例を見てきました。

私の問題は、AntiXss ライブラリが値を &#DECIMAL; にエンコードすることです。私の正規表現の知識が限られているため、スティーブの例を書き直す方法がわかりません。

エンティティを 10 進形式に単純に置き換えた次のコードを試しましたが、正しく動作しません。

私の書き直し：

私の入力テストhtmlは次のとおりです。

AntiXss の後は次のようになります。

上記の Sanitize(string html) のバージョンを実行すると、次のようになります。

正規表現は、私が望まないホワイトリストのスクリプトと一致しています。これに関する任意の助けをいただければ幸いです。

XSS、SQL インジェクション、および関連する攻撃を防ぎながら、FCKeditor やその他のエディターのようなエディター (stackoverflow のように) にコード スニペットを入力できるようにするにはどうすればよいでしょうか。

基礎：

• php を使用してフォームを検証するお問い合わせフォームがあります。（クライアント側に加えて）ただし、これは任意のサーバー側言語で実行できます。
• サーバー側では、特定のフィールドに対して Az 0-9 のみが許可されます (このフィールドを非常に限られた範囲でのみ英語に検証することは許容されます)。
• フォームにエラーが含まれている場合は、フィールドを再入力して、ユーザーが再度送信する前に再入力する必要がないようにします。
• 正当な使用が見つかったとしても、他のサイトに私のフォームを投稿させたくありません。

別の Web サイトで、汚い言葉をフィールドに投稿するフォームを簡単に作成できます。特定の汚い言葉は、検証規則に従って完全に合法ですが、私の従業員は明らかにそれが起こることを望んでいません.

私は、熱心なハッカーが Cookie や php セッションに影響を与える可能性があるという印象を受けています。もちろん、非表示のフィールドはリファラーなどと一緒に簡単に偽装できます。サードパーティのサイトが自分のページに投稿するのをブロックするにはどうすればよいですか?

これについても Google を手伝ってください。私の検索用語は弱く、失敗することがわかっているメソッドを呼び出します。

誰かが自分のサイトのフォームを介して「d03boy は猫を食べる」を送信し、それを私のフォームに送信するためのリンクをクリックするよう人々を誘導した場合はどうなりますか? (それが可能であることを認め、私の会社はリスクを受け入れることはできません) 次に、ユーザーが「名前」フィールド内にある「d03boy は猫を食べる」というリンクをクリックすると、非常に気分を害し、私たちのサイトのコンテンツについて PETA に連絡します。何が起こったのかをユーザーに説明することはできません。確かに、何も起こらなかったが、1 人のユーザーを動揺させることは、私の雇用主には受け入れられない.

私たちの現在の解決策は、ユーザー入力を報告しないことです。これは、私の意見では、ユーザビリティの大きな問題です。

どちらを使用する必要がありますか?

また