PTT評價

Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?

看板Soft_Job標題Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?作者
DarkKiller
(System hacked)
時間推噓 2 推:2 噓:0 →:2

※ 引述《DarkKiller (System hacked)》之銘言:
: 推 Masakiad: 舉例過時了吧?php很少人這樣寫了 02/23 14:20
拿最紅的 Laravel 來講好了。

因為 Laravel 的 Blade 不有支援這些特殊的 escape,你必須知道這些概念後才
能自己寫 extension/plugin 產生正確的 escape。

: 1. htmlspecialchars($data) 或是 htmlentities($data)。

這是標準版,Blade 的預設值。

: 2. htmlspecialchars($data) 或是 htmlentities($data)。

這也是標準版,double quote 裡面的東西要 escape 是常忘的項目。

: 3. htmlspecialchars(urlencode($data)) 或是 urlencode($data)。

這邊處理的例子是 "+",只用 htmlspecialchars() 會導致 "+" 沒有被 escape,
而傳入變數裡會變成 " " (空白),這邊要用 urlencode() 才會正確的被 escape
,但因為放到 html 裡面,所以要用 htmlspecialchars() 包起來。

另外因為 urlencode() 會處理 htmlspecialchars() 的五個特殊字元:

php > echo urlencode("\"'&<>");
%22%27%26%3C%3E

所以這邊會說 htmlspecialchars() 可以省略。

用 Blade 的人需要「另外安裝套件」來處理:

https://github.com/laravelgems/blade-escape

: 4. htmlspecialchars(json_encode($data))。

如果 3. 可以理解,這個就比較簡單。

不管是 array 還是 object,包起來以後用 json_encode() 打包,然後因為放到
html 裡面,所以過一次 htmlspecialchars()。

然後上面提到的 https://github.com/laravelgems/blade-escape 在這邊沒辦法
用,因為程式碼只能處理字串:

https://github.com/laravelgems/blade-escape/blob/master/src/Providers/BladeEscapeServiceProvider.php
https://github.com/laravelgems/escape/blob/master/src/HTML.php

: 5. json_encode($data)。

這個是裡面最複雜的,也因為學到這個 XSS 技巧後,之後我寫 html js 的 best
practice 都一定是:

<!doctype html>
<body>
<script>
<!--
...
//-->
</script>
</body>

那個 <!-- 與 //--> 很重要。

https://bit.ly/39U38Wz
https://stackoverflow.com/questions/20942452/why-does-script-cause-a-dom-tree-break-on-the-browser

我講一下當時在 stackoverflow 上問的問題 (我靠這題賺了不少分),我當時的想
法是:

var a = <?= json_encode($data) ?>;

當 $data = "<!--<script>"; 時:

php > echo json_encode("<!--<script>");
"<!--<script>"

所以會產生出這樣的 html:

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = '<!--<script>';
</script>
<p>Test</p>
</body>
</html>

但我發現上面這段程式碼你看不到 <p>test</p> 這段,於是就跑上去問了。原因
是上面這段不是合法的 html5,所以跳入 fallback 所以被打出 XSS 了。

所以 https://github.com/laravelgems/blade-escape 這邊在講 Javascript
Parameter 的部份給的範例也是有問題的:

<script>
var username = "@js($variable)";
</script>
<a href="#" onclick="displayDialog('@js($title)');">Click</a>

--
Resistance is futile.
https://blog.gslin.org/ & <[email protected]>

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.104.21 (臺灣)
PTT 網址

jerryshadow02/23 16:07推推

Masakiad02/23 16:12其實我想說的是現在大多前端rendering, 很少後端做了,

Masakiad02/23 16:12所以可能舉js造成的比較實際

y3k02/23 16:39XSS不熟我就不講 SQL注入明顯是開發時便宜行事造成的阿..