我正在使用 RIPS 扫描服务器中的文件夹。报告出来了,报告的一些漏洞是“用户输入到达敏感接收器。”。报告的行是定义变量的行。您可以在此处查看报告。有谁知道我该如何解决这个问题?这不应该是正常的,不应该作为漏洞报告吗?
问问题
1882 次
3 回答
2
它们中的大多数看起来像误报,因为不涉及实际的用户输入。大多数包含路径是由一个函数构造的,该函数可能从数据库或配置文件中获取其数据。
get_locale()如果它采用Accept-LanguageHTTP 请求的标头并未经清理使用它们,则可能会出现问题。
于 2014-01-20T18:23:18.847 回答
1
您可以在此处获取所有敏感接收器的详细信息:
http://awap.sourceforge.net/support.html#sanitization
哪些确实具有 PHP 语言的所有敏感接收器以及如何减轻这些漏洞。
您可以在此处阅读有关此的研究论文:
http://awap.sourceforge.net/papers/wap_dsn2016.pdf
http://awap.sourceforge.net/papers/WAP_IEEE_TR_Mar2016.pdf
希望这可以帮助你。
于 2019-03-18T09:03:16.993 回答
0
考虑您有如下代码的情况:
$name = $city = $email = $message = "";
当用户输入到达敏感接收器时,RIPS 会报告此代码。
要解决此问题,您可以应用以下技巧:
$name=test_input("");
$city=test_input("");
$email=test_input("");
$message=test_input("");
function test_input($data) {
$data = trim($data);
$data = stripcslashes($data);
$data = htmlspecialchars($data);
$data = htmlentities($data, ENT_QUOTES, "utf-8");
return $data;
}
于 2019-07-18T07:24:33.307 回答