CodeIgniter 응용 프로그램을 시작하기 전에 좋은 보안 검사 목록을 알고있는 사람이 있습니까? 우리는 알려진 PHP 보안 결함을 테스트했으며 CodeIgniter 앱을 시작할 때 수행 할 측정이 있는지 궁금해하고 있습니다.CodeIgniter 응용 프로그램 실행을위한 보안 검사 목록
우리는 클라이언트가 CI 프레임 워크를 기반으로 응용 프로그램을 작성하도록 특별히 요구 받았으며 적절한 PHP 보안 테스트를 수행했습니다.
기본적으로 CI 구성 설정에 구성이있는 경우 문제를 일으킬 수있는 사항을 확인해야합니다.
주요 세 가지 공격은 다음과 같습니다
echo 모든 사용자 내용 뒤로 올바르게 (예 : xss_clean을 형식 수정 자로 사용)에서 태그를 제거 할 수 있습니다.는 또한 인증 메커니즘이 제자리에 있는지 확인 보내지는 모든 형태의 사용 CI의 CSRF 보호 토큰입니다.
괜찮 으면 사용중인 PHP 버전의 알려진 버그를 확인하고 사용 가능한 최신 버전을 사용하도록 서버를 업그레이드하십시오.
내가 말하고자하는 한 가지는 xss_clean이 출력 필터 인 XSS를 처리하는 올바른 방법이 아닌 입력 필터라는 것입니다. 사용자가 위험한 문자를 삽입했을 위험이있는 htmlentities (적절한 경우 ENT_QUOTE 포함)를 사용하십시오. –
위험한 문자 (예 : '<', '>','&'). 사용자가 일부 형식을 지정할 수있게하려면 다른 방법을 찾아야하며 XSS 공격을 허용하지 않도록주의해야합니다. – SztupY
[OWASP 테스트 가이드] (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents)를 이미 읽었습니까? – Gumbo