1
我接受用戶文本並在頁面上回顯(代碼也轉到數據庫,但這是準備查詢,所以不用擔心)。我想知道是否有可能引起的安全隱患?在服務器方面,我的意思是,我知道在客戶端你可以打破,但你可以達到服務器端?迴應用戶輸入的文本的安全問題
我需要知道,如果像eval這樣的東西可能可以用這種情況下完成。
A
回答
2
您解釋的情況稱爲XSS。藉助XSS漏洞可能會危及您的服務器,但它確實需要其他的東西才能實現。
假設您擁有管理員帳戶,該帳戶有權通過網絡對您的服務器進行配置更改。現在,如果攻擊者創建XSS鏈接並以某種方式讓管理員點擊它,他的帳戶就會受到攻擊。
一旦攻擊者有管理員權限,他就可以系統地控制整個系統。最近發生在Apache - read their article on it。這是我見過的安全事件中最好的寫法,你會從中學到很多東西。
0
0
如果您直接使用用戶輸入查詢SQL數據庫,則可能會受到SQL注入的影響。只是谷歌它的例子。
編輯:哦,我錯過了文字說,你只是回聲的文字。嗯,好吧,也許用戶可以在評估用戶輸入時發佈PHP命令。但我不知道爲什麼你應該這樣做,因爲那時用戶可以向服務器發出任何PHP命令(這是明確的安全風險)...
+0
我不是做評估..所以這種情況下不存在.. – pinaki 2010-09-08 07:43:31
0
用途:
echo htmlentities($string);
無處不在。除非你想打開你的應用程序到幾十個可能的攻擊:
如果你需要一個呼應的HTML標記:將其保存到數據庫之前
1)使用HTMLPurifier上的HTML。
2)我推薦使用XHTML STRICT過濾。
3)禁止腳本,框架,像onclick這樣的屬性等標籤。輸入HTML的標籤和屬性用戶永遠不需要的列表非常長。只要限制他們可能需要的東西,例如:p,ol,ul,h1,h2,h3,dl,abbr,img(這些可能是危險的,很多可能通過img標籤攻擊,小心),(detto)表,也許更少。
相關問題
- 1. 安全的用戶輸入
- 2. fsockopen到用戶輸入的IP地址 - 安全問題
- 3. 安全問題與PHP郵件腳本,沒有用戶輸入文件
- 4. 應用程序傳輸安全問題
- 5. 用戶輸入的Python安全限制
- 6. 使用戶輸入安全的XML
- 7. WCF安全傳輸安全問題
- 8. UIKeyboardWillShowNotification,iOS8和安全文本輸入
- 9. 允許用戶嵌入視頻的主要安全問題
- 10. 在webview中的應用程序傳輸安全問題
- 11. 用戶輸入問題
- 12. 用戶輸入問題
- 13. 用戶輸入問題
- 14. 問題與用戶輸入
- 15. 文件導入安全問題
- 16. 檢測UITextField安全文本輸入覆蓋的文本
- 17. PHP用戶輸入數據安全
- 18. 自定義用戶HTML輸入安全
- 19. PHP安全地接收用戶輸入
- 20. 用戶輸入Javascript安全隱患
- 21. 用戶輸入,PHP,Javascript和安全
- 22. 處理文本輸入的問題
- 23. 問題更改輸入文本的文本時,當用戶寫出頭
- 24. 本地SWF安全問題
- 25. 安全地將用戶輸入寫入php文件
- 26. Django中不安全的用戶輸入文本有什麼危險?
- 27. HTML5到本機應用程序的安全問題
- 28. JavaScript的問題HTML用戶輸入
- 29. [R readline的,用戶輸入問題
- 30. Java與python的用戶輸入問題
+1。漂亮的文章..你錯過了整點雖然..我不擔心客戶端注入和它可以有什麼影響..我需要知道它是否可以有任何服務器端影響。感謝你的努力。 – pinaki 2010-09-08 07:41:54
@pinaki - 它也會影響服務器端,**如果**您正在根據用戶提供的內容做某種服務器包含/評估。例如,看到這個頁面 - http://www.owasp.org/index.php/File_System#Includes_and_Remote_files – 2010-09-08 08:35:41
@pinaki ..但除此之外,XSS不能直接對服務器造成傷害;它是一個客戶端的事情。 – 2010-09-08 08:36:31