2

当我使用“Acunetix Web Vulnerability Scanner”扫描我的网站时,我感到非常惊讶。当我使用带有 xss 过滤的获取参数时,程序在页面上显示了很多 xss 漏洞。例如:

URL encoded GET input state was set to " onmouseover=prompt(967567) bad="
The input is reflected inside a tag parameter between double quotes.

我认为这是因为当结果为空时我不显示 404 错误(应该是)。我显示“请求为空”之类的消息

我的控制器:

$this->pagination->initialize($config); 
    $this->load->model('aircraft_model');

    $data['type'] = $this->input->get('type', TRUE);
    $data['year'] = $this->input->get('year', TRUE);
    $data['state'] = $this->input->get('state', TRUE);
        $type_param = array (
        'type'    => $this->input->get('type', TRUE),
        );

        $parameters = array(
        'year'    => $this->input->get('year', TRUE),
        'state_id'   => $this->input->get('state', TRUE),
        );
        foreach ($parameters as $key=>$val)
                {
                    if(!$parameters[$key])
                    {
                        unset($parameters[$key]);
                    }
                }

    $data['aircraft'] = $this->aircraft_model->get_aircraft($config['per_page'], $this->uri->segment(3, 1),$parameters, $type_param);
    $data['title'] = 'Самолеты | ';
    $data['error'] = '';
    if (empty($data['aircraft']))
    {
       $data['error'] = '<br /><div class="alert alert-info"><b>По таким критериям не найдено ниодного самолета</b></div>';
    }

    $name = 'aircraft';
    $this->template->index_view($data, $name);

即使我打开全局 xss 过滤程序也能找到 xss 漏洞。也许可能的 xss 的消息是错误的?

我也有一个 SQL 注入。

Attack details:
Path Fragment input / was set to \
Error message found: 
You have an error in your SQL syntax

SQL错误:

Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 10' at line 3
SELECT * FROM (`db_cyclopedia`) LIMIT -10, 10

控制器:

$this->load->model('cyclopedia_model');
    $this->load->library('pagination');
    $config['use_page_numbers'] = TRUE;

    [pagination config]

    $config['suffix'] = '/?'.http_build_query(array('type' => $this->input->get('type', TRUE)), '', "&");

    $config['base_url'] = base_url().'cyclopedia/page/';
    $count_all = $this->cyclopedia_model->count_all($this->input->get('type', TRUE));
    if (!empty($count_all)){
    $config['total_rows'] = $count_all;    
    }
    else
    {
    $config['total_rows'] = $this->db->count_all('cyclopedia');
    }
    $config['per_page'] = 10;
    $config['first_url'] = base_url().'cyclopedia/page/1'.'/?'.http_build_query(array('type' => $this->input->get('type', TRUE)), '', "&");

    $this->pagination->initialize($config); 

        $parameters = array(
        'cyclopedia_cat_id' => $this->input->get('type', TRUE),
        );
        foreach ($parameters as $key=>$val)
                {
                    if(!$parameters[$key])
                    {
                        unset($parameters[$key]);
                    }
                }
    $data['type'] = $this->input->get('type', TRUE);   
    $data['cyclopedia'] = $this->cyclopedia_model->get_cyclopedia($config['per_page'], $this->uri->segment(3, 1),$parameters);
    $data['title'] = 'Энциклопедия | ';
    if (empty($data['cyclopedia']))
    {
        show_404();
    }

    $name = 'cyclopedia';
    $this->template->index_view($data, $name);

还有一个是 HTTP 参数污染(获取参数)的一些问题。

Attack details
URL encoded GET input state was set to &n954725=v953060
Parameter precedence: last occurrence
Affected link: /aircraft/grid/?type=&year=&state=&n954725=v953060
Affected parameter: type=

很抱歉有很多代码,但这是我第一次使用 codeigniter / framework 和安全第一的经验。

更新:当网站网址像这个 site.com/1 codeigniter 显示:

An Error Was Encountered
Unable to load your default controller. Please make sure the controller specified in your Routes.php file is valid.

如何制作显示 404 而不是此消息?

4

1 回答 1

2

这需要用户输入:

$config['first_url'] = base_url().'cyclopedia/page/1'.'/?'.http_build_query(array('type' => $this->input->get('type', TRUE)), '', "&");

然后 Pagination.php 库中的这一行在没有适当的 HTML 转义的情况下将其吐到输出页面中:

$output .= $this->first_tag_open.'<a '.$this->anchor_class.'href="'.$first_url.'">'.$this->first_link.'</a>'.$this->first_tag_close;

尽管自动扫描工具通常会产生很多误报,但这是一个真正的 HTML 注入漏洞,会导致跨站点脚本攻击的真正风险。

要解决此问题,请将所有注入 HTML 上下文(例如$first_url)的输出用htmlspecialchars(). 不幸的是,由于这是库代码,您必须启动自己的分页分支。使用其他库可能会更好。

不要依赖,xss_clean因为它不能可靠地保护你。它正在尝试处理输入层的输出问题,这永远不会正常工作——它会错过攻击以及破坏完全有效的输入。整个想法暴露了对 XSS 问题实际上是什么的基本的新手误解。

Pagination 中有更多地方需要相同的修复,但我不想花更多的时间阅读 CodeIgniter 质量差的代码。

我不明白 CodeIgniter 是如何达到这种受欢迎程度的。

于 2013-03-02T17:18:47.323 回答