XSS 공격에 대한 사이트의 취약성으로 인해 내 웹 사이트가 PCI 준수가되는 데 문제가 있습니다. htmlspecialchars() 및 htmlentities()를 사용하여 시도했지만 Trustwave는 여전히 내 사이트가 URL 인코딩 공격에 취약하다는 말을 전하고 있습니다. 예를 들어, 누군가가 "% 2522 % 253E % 2527 % 253E % 253CIfRaME % 253E"와 같은 것을 입력 할 수 있습니다. url 변수에서이를 처리하는 방법을 모르겠습니다. 도와주세요!! 감사합니다 :)PHP에서 URL 인코딩 된 XSS 공격 방지하기
2
A
답변
0
내 2cent가 :
당신이 MVC를 사용하는 경우, 다음 라우팅 전에 값 적힌 모든 디코딩을 시도하고 이러한 악성 콘텐츠 없애 stript_tags()
를 사용합니다. 그리고 docs은 대소 문자가 영향을주지 않아야한다고 말합니다.
그렇지 않은 경우 유틸리티 함수를 만들고 URI에서 변수를 검색하는 동안 동일한 작업을 수행하십시오. 그러나 나는 결코 XSS 전문가는 아니므로 이는 트릭의 일부일 수 있습니다.
관련 문제
- 1. 이메일로 xss/injection 공격 신고하기 (인코딩 방법)
- 2. DOM XSS 공격 탐지
- 3. XSS 공격 예방
- 4. 이 필터를 통한 XSS 공격?
- 5. img 16 진 코드로 xss 공격
- 6. PHP - 인코딩 다시 공격
- 7. XSS 공격 방지 기능이있는 모든 WYSIWYG 편집기?
- 8. xss 공격 문제 - servletoutputstream.write (b, 0, b.length);
- 9. 특정 XSS 공격 벡터에 대한 설명이 필요합니다.
- 10. html() vs innerHTML jquery/javascript & XSS 공격
- 11. PHP_SELF 및 SCRIPT_NAME - XSS 공격 버전
- 12. window.location으로 수행 할 수있는 XSS 공격
- 13. 점으로 된 URL 인코딩
- 14. base64 인코딩 된 URL
- 15. PHP URL 변조 방지하기
- 16. 프랑스 문자로 인코딩 된 URL :
- 17. URL 인코딩 된 XML 파일
- 18. 의 URL 인코딩 된 문자열
- 19. 톰캣이 URL 인코딩 된 문자열
- 20. Apache mod_rewrite로 인코딩 된 URL
- 21. MVC에서 URL 조작 공격 방지?
- 22. 예/PHP에서 XSS 공격의 유형은
- 23. PHP-JavaScript URL 디코드 - 인코딩
- 24. GZip으로 압축 된 XSS GWT 앱에서 콘텐츠 인코딩 오류가 발생했습니다.
- 25. XSS 유형 0에 대한 ModSecurity 보호 공격 및 영향
- 26. XSS 데이터가 저장되지 않아도 공격 벡터로 XSS가 발생합니까?
- 27. Ajax Control Toolkit Editor 제어 - XSS 공격 방지
- 28. XSS 공격 서버쪽에 HTML 코드를 게시 할 수 없습니다.
- 29. PHP에서 파일 URL 문제
- 30. PHP에서 하이픈 (-) 및 점 (.)을 포함한 URL 인코딩
당신은 정말로 Trustwave를 신뢰합니까? – hakre
PHP IDS를 살펴보십시오. – powtac
문제를 이해하기 위해 코드 예제가 필요할 수 있습니다. $ _GET 같은 슈퍼 글로발은 이미 디코딩되었습니다. 따라서 출력물에서 ** htmlspecialchars **를 사용하여 XSS 공격으로부터 사이트를 보호해야합니다. – mpratt