作者DarkKiller (System hacked)
看板Soft_Job
標題Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?
時間Sun Feb 23 15:07:55 2020
※ 引述《DarkKiller (System hacked)》之銘言:
: 推 Masakiad: 舉例過時了吧?php很少人這樣寫了 02/23 14:20
拿最紅的 Laravel 來講好了。
因為 Laravel 的 Blade 不有支援這些特殊的 escape,你必須知道這些概念後才
能自己寫 extension/plugin 產生正確的 escape。
: 1. htmlspecialchars($data) 或是 htmlentities($data)。
這是標準版,Blade 的預設值。
: 2. htmlspecialchars($data) 或是 htmlentities($data)。
這也是標準版,double quote 裡面的東西要 escape 是常忘的項目。
: 3. htmlspecialchars(urlencode($data)) 或是 urlencode($data)。
這邊處理的例子是 "+",只用 htmlspecialchars() 會導致 "+" 沒有被 escape,
而傳入變數裡會變成 " " (空白),這邊要用 urlencode() 才會正確的被 escape
,但因為放到 html 裡面,所以要用 htmlspecialchars() 包起來。
另外因為 urlencode() 會處理 htmlspecialchars() 的五個特殊字元:
php > echo urlencode("\"'&<>");
%22%27%26%3C%3E
所以這邊會說 htmlspecialchars() 可以省略。
用 Blade 的人需要「另外安裝套件」來處理:
https://github.com/laravelgems/blade-escape
: 4. htmlspecialchars(json_encode($data))。
如果 3. 可以理解,這個就比較簡單。
不管是 array 還是 object,包起來以後用 json_encode() 打包,然後因為放到
html 裡面,所以過一次 htmlspecialchars()。
然後上面提到的
https://github.com/laravelgems/blade-escape 在這邊沒辦法
用,因為程式碼只能處理字串:
https://github.com/laravelgems/blade-escape/blob/master/src/Providers/BladeEscapeServiceProvider.php
https://github.com/laravelgems/escape/blob/master/src/HTML.php
: 5. json_encode($data)。
這個是裡面最複雜的,也因為學到這個 XSS 技巧後,之後我寫 html js 的 best
practice 都一定是:
<!doctype html>
<body>
<script>
<!--
...
//-->
</script>
</body>
那個 <!-- 與 //--> 很重要。
https://bit.ly/39U38Wz
https://stackoverflow.com/questions/20942452/why-does-script-cause-a-dom-tree-break-on-the-browser
我講一下當時在 stackoverflow 上問的問題 (我靠這題賺了不少分),我當時的想
法是:
var a = <?= json_encode($data) ?>;
當 $data = "<!--<script>"; 時:
php > echo json_encode("<!--<script>");
"<!--<script>"
所以會產生出這樣的 html:
<!DOCTYPE HTML>
<html>
<body>
<script>
var a = '<!--<script>';
</script>
<p>Test</p>
</body>
</html>
但我發現上面這段程式碼你看不到 <p>test</p> 這段,於是就跑上去問了。原因
是上面這段不是合法的 html5,所以跳入 fallback 所以被打出 XSS 了。
所以
https://github.com/laravelgems/blade-escape 這邊在講 Javascript
Parameter 的部份給的範例也是有問題的:
<script>
var username = "@js($variable)";
</script>
<a href="#" onclick="displayDialog('@js($title)');">Click</a>
--
Resistance is futile.
https://blog.gslin.org/ & <
[email protected]>
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.104.21 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1582441681.A.A7B.html
推 jerryshadow: 推推 02/23 16:07
推 Masakiad: 其實我想說的是現在大多前端rendering, 很少後端做了, 02/23 16:12
→ Masakiad: 所以可能舉js造成的比較實際 02/23 16:12
→ y3k: XSS不熟我就不講 SQL注入明顯是開發時便宜行事造成的阿.. 02/23 16:39