관리자 패널에 사용자 입력이 올바른지 확인하는 로그 기능이 있습니다. 올바르지 않은 경우 로그 파일에 기록합니다. 이 로그 파일은 로그인 할 때 관리자에게 쓰여집니다.XSS PHP 로그 필터?
나는 취약점을 위해 사이트를 테스트하고 있었으며 XSS 구멍을 사용하여 서버를 완전히 활용할 수있었습니다.
function isXSS($in){
return preg_match("[<>(%[0-9a-fA-F]{2}+)]", $in) == 1;
}
을하지만 어느 paranoidly 마크 A를 혐오 XSS 웜 전부 또는 공통 XSS 주사 무시할 것이다 :이 함수를 통해 입력을 검사에 의해 기록 된 입력을 필터링하는 것을 시도했다. 나는 문제가 + 한정 기호라고 생각하지만, 다른 PHP 정규 표현식이 이것을 허용한다고 들었습니다.