看板 Soft_Job 關於我們 聯絡資訊
作者DarkKiller (System hacked)
看板Soft_Job
標題Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?
時間Sun Feb 23 15:07:55 2020
※ 引述《DarkKiller (System hacked)》之銘言: : 推 Masakiad: 舉例過時了吧?php很少人這樣寫了 02/23 14:20 拿最紅的 Laravel 來講好了。 因為 Laravel 的 Blade 不有支援這些特殊的 escape,你必須知道這些概念後才 能自己寫 extension/plugin 產生正確的 escape。 : 1. htmlspecialchars($data) 或是 htmlentities($data)。 這是標準版,Blade 的預設值。 : 2. htmlspecialchars($data) 或是 htmlentities($data)。 這也是標準版,double quote 裡面的東西要 escape 是常忘的項目。 : 3. htmlspecialchars(urlencode($data)) 或是 urlencode($data)。 這邊處理的例子是 "+",只用 htmlspecialchars() 會導致 "+" 沒有被 escape, 而傳入變數裡會變成 " " (空白),這邊要用 urlencode() 才會正確的被 escape ,但因為放到 html 裡面,所以要用 htmlspecialchars() 包起來。 另外因為 urlencode() 會處理 htmlspecialchars() 的五個特殊字元: php > echo urlencode("\"'&<>"); %22%27%26%3C%3E 所以這邊會說 htmlspecialchars() 可以省略。 用 Blade 的人需要「另外安裝套件」來處理: https://github.com/laravelgems/blade-escape : 4. htmlspecialchars(json_encode($data))。 如果 3. 可以理解,這個就比較簡單。 不管是 array 還是 object,包起來以後用 json_encode() 打包,然後因為放到 html 裡面,所以過一次 htmlspecialchars()。 然後上面提到的 https://github.com/laravelgems/blade-escape 在這邊沒辦法 用,因為程式碼只能處理字串: https://github.com/laravelgems/blade-escape/blob/master/src/Providers/BladeEscapeServiceProvider.php https://github.com/laravelgems/escape/blob/master/src/HTML.php : 5. json_encode($data)。 這個是裡面最複雜的,也因為學到這個 XSS 技巧後,之後我寫 html js 的 best practice 都一定是: <!doctype html> <body> <script> <!-- ... //--> </script> </body> 那個 <!-- 與 //--> 很重要。 https://bit.ly/39U38Wz https://stackoverflow.com/questions/20942452/why-does-script-cause-a-dom-tree-break-on-the-browser 我講一下當時在 stackoverflow 上問的問題 (我靠這題賺了不少分),我當時的想 法是: var a = <?= json_encode($data) ?>; 當 $data = "<!--<script>"; 時: php > echo json_encode("<!--<script>"); "<!--<script>" 所以會產生出這樣的 html: <!DOCTYPE HTML> <html> <body> <script> var a = '<!--<script>'; </script> <p>Test</p> </body> </html> 但我發現上面這段程式碼你看不到 <p>test</p> 這段,於是就跑上去問了。原因 是上面這段不是合法的 html5,所以跳入 fallback 所以被打出 XSS 了。 所以 https://github.com/laravelgems/blade-escape 這邊在講 Javascript Parameter 的部份給的範例也是有問題的: <script> var username = "@js($variable)"; </script> <a href="#" onclick="displayDialog('@js($title)');">Click</a> -- Resistance is futile. https://blog.gslin.org/ & <[email protected]> -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.104.21 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1582441681.A.A7B.html
jerryshadow: 推推 02/23 16:07
Masakiad: 其實我想說的是現在大多前端rendering, 很少後端做了, 02/23 16:12
Masakiad: 所以可能舉js造成的比較實際 02/23 16:12
y3k: XSS不熟我就不講 SQL注入明顯是開發時便宜行事造成的阿.. 02/23 16:39