如何預防 XSS

XSS (Cross-site scripting)
是一種網站應用程式的安全漏洞攻擊,允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了 HTML 以及使用者端的 Javascript。

以前盛行的 SQL Injection 到現在的 JavaScript Injection
這類的問題真是層出不窮阿…
SQL Injection 很容易被 Search Engine 給搜出來(只要人家多給你散撥一下)
如果程式設計不妥,很容易就會被"入侵"了(說入侵實在太貼金了)
就連銀行都出過這種包呢!

駭客新手法 資料隱碼入侵 威脅九成官商網站

 刑事局指出,「資料隱碼」攻擊手法,是於去年六月間,在國外網站悄悄流傳,美國駭客年會並於去年九月份廣泛討論,知悉這種攻擊方法的駭客人數正逐漸增加;警方研判,台灣已有網站遭到毒手。

 據了解,「資料隱碼」(SQL Injection)攻擊法,專門經由Apache、IIS、Domino、Netscape的網站系統,透過ASP、PHP、JSP程式碼,攻擊破壞MS-SQL、My SQL、Oracle、Sybase、DB2等各種SQL資料庫。

 刑事局資訊室主任兼偵九隊隊長李相臣分析,目前國內有九成以上的政府及電子商務網站,使用上述網站資料庫系統;警方初步調查,其中有七成以上,均可以「資料隱碼」輕易攻擊入侵,已面臨安全威脅。

雖然這是民國 91 年的新聞
不過現在的狀況可能也好不到哪去
Flash 都有 XSS 喔!

這邊就來介紹 PHPIDS - Web Application Security 2.0
可以用來偵測 $_GET$_POST 變數中是否含有 XSS 等含有威脅的資料
需求環境為 PHP5 & SimpleXML

PHPIDS 可以預防抵擋哪些攻擊呢?
Currently the PHPIDS detects all sorts of XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS and LDAP attacks. Through special conversion algorithms the PHPIDS is even able to detect heavily obfuscated attacks - this covers several charsets, entities of all forms, comment obfuscation, obfuscation through concatenation, shell code and many other variants. Furthermore the PHPIDS is able to detect yet unknown attack patterns with the PHPIDS Centrifuge component.

要如何使用 PHPIDS 呢?
set_include_path(
get_include_path()
. PATH_SEPARATOR
. 'path/to/phpids/lib'
);

require_once 'IDS/Init.php';

$request = array_merge($_GET, $_POST);
$init = IDS_Init::init('IDS/Config/Config.ini');

$ids = new IDS_Monitor($request, $init);
$result = $ids->run();

if (!$result->isEmpty()) {
// Take a look at the result object
echo $result;
}

可以到官方網站demo 看看

Comments

Post a Comment

Popular posts from this blog

CentOS7 如何新增/移除 Rich Rule for firewalld

如果要針對某個 ip 開放某個 port 需要用到 rich rule 來設定 針對 public zone 列出永久的 rule # firewall-cmd --zone=public --list-all --permanent 針對特定的 ip 開放特定的 port 這邊是針對 sql server 開放 # firewall-cmd --add-rich-rule="rule family="ipv4" source address="1.1.1.1" port port="1433" protocol="tcp" accept" --permanent 如果要移除 rich rule # firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source address="1.1.1.1" port protocol="tcp" port="1433" accept' PS. webmin 看不到 rich rule, 所以需要用 cmd 才能設定
Read more

mac 安裝 mtr

Image
macOS 上要安裝 mtr 看似簡單 $ brew install mtr 如果沒安裝過 HomeBrew 請參考這邊 mtr 可拿來檢查點對點中間的網路狀態 它結合 ping 及 traceroute 的功能 已內建於大多數的 Linux 中 詳細的說明可參考這邊 但這邊有個坑 由於安裝好的 mtr 不在 /usr/local/sbin 中 macOS 中也不存在這這個目錄(macOS 10.14.3) 所以會出現以下的錯誤 Error: The brew link step did not complete successfully The formula built, but is not symlinked into /usr/local Could not symlink sbin/mtr /usr/local/sbin is not writable. You can try again using: brew link mtr ==> Caveats mtr requires root privileges so you will need to run sudo mtr . You should be certain that you trust any software you grant root privileges. 執行 brew link mtr 會出現 Linking /usr/local/Cellar/mtr/0.92… Error: Could not symlink sbin/mtr /usr/local/sbin is not writable. 如何設定 1. 建立目錄及設定權限 sudo mkdir /usr/local/sbin && sudo chmod ug+rwx /usr/local/sbin && sudo chown $(id -un):admin /usr/local/sbin 2. 設定 PATH 如果有裝 zsh 的話 請編輯 vi .zshrc 如果沒有使用 zsh 請編輯 vi .bash_profile 將下面的部分貼到最下方 export PA
Read more

Howto use Postman test Cors

Image
Postman 是一個很方便測試 api 的工具 沒有他我不知道人生要怎麼過啊! 開發程式上由於不同主機都一定會遇到 Cors 的問題 如果不要自己寫程式測試 那最快的方式就是用 Postman 了 請記得這邊要選「options」 然後 Header 裡面加入這兩行就可以了 這邊的變數視你的狀況而定 我的環境是利用 token 帶 jwt token 且沒有使用認證的機制 Access-Control-Request-Headers : token Access-Control-Request-Method : GET Status 回傳 200 代表有開通 Cors 如果沒開通會回傳 405 我這邊 Server side 是用 Lumen 搭配 這個套件 使用
Read more