问题标签 [owasp]

我做了很多搜索，还阅读了 PHP $_SERVER 文档。我是否有权在我的 PHP 脚本中使用整个站点中使用的简单链接定义？

$_SERVER['SERVER_NAME']基于您的 Web 服务器的配置文件（在我的例子中是 Apache2），并且取决于几个指令：（1）VirtualHost，（2）ServerName，（3）UseCanonicalName 等。

$_SERVER['HTTP_HOST']是根据客户的要求。

因此，在我看来，为了使我的脚本尽可能兼容而使用的正确方法是$_SERVER['HTTP_HOST']. 这个假设正确吗？

后续评论：

$_SERVER我想在阅读这篇文章并注意到有些人说“他们不会信任任何vars”后，我有点偏执：

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/reserved.variables.server.php#89567（评论：Vladimir Kornea 14-Mar-2009 01:06）

显然，讨论主要是关于$_SERVER['PHP_SELF']为什么你不应该在没有适当的转义以防止 XSS 攻击的情况下在表单动作属性中使用它。

我对上述原始问题的结论是，使用$_SERVER['HTTP_HOST']网站上的所有链接是“安全的”，而不必担心 XSS 攻击，即使在表单中使用也是如此。

如果我错了，请纠正我。

• 我们正在考虑使用一个库来帮助我们检测 SQL 注入。

  • 我们正在使用 sprocs 和参数化语句，但是为了这篇文章，我们只使用了一些检测/验证用户输入的库。

什么是最好的？最容易实施？最容易更新/管理？为什么偏爱一个而不是另一个？

附带说明：

我刚刚开始使用Owasp。用 C#。我希望在验证时会有更多的默认规则。使用 isValid 函数时，只有 5 个默认规则。

CREDIT_CARD -- 信用卡验证规则的规则名称键。DATE -- 日期验证规则的规则名称键。DOUBLE -- 双重验证规则的规则名称键。INTEGER -- 整数验证规则的规则名称键。PRINTABLE -- 可打印验证规则的规则名称键。

我希望字符串 SQL 注入检测会有更多的默认规则。

谢谢

在阅读 OWASP 网站时，我偶然发现了一些页面

www.owasp.org/index.php/Category:对策

和

www.owasp.org/index.php/Category:Control。

我的问题很简单：两者有什么区别？

我敢肯定，如果有更多信息，我可以看到它，但现在它们似乎都表示它们是用于检测、阻止或拒绝攻击的东西。

I have an website where people can place a vote like this:

This will place a vote on item 25. I want to only make this available for registered users, and only if they want to do this. Now I know when someone is busy on the website, and someone gives them a link like this:

then the vote will be places for him on the item without him wanting to do this.

I have read the explanation on the OWASP website, but i don't really understand it

Is this an example of CSRF, and how can I prevent this. The best thing i can think off is adding something to the link like a hash. But this will be quite irritating to put something on the end of all the links. Is there no other way of doing this.

Another thing can someone maybe give me some other example of this, because the website seems fairly fugue to me.

有许多安全原因导致人们想要在没有响应的情况下断开 HTTP 连接（例如，OWASP 的 SSL 最佳实践）。当这些可以在服务器级别检测到时，这没什么大不了的。但是，如果您只能在应用程序级别检测到这种情况怎么办？

Rails，或者更普遍的 Rack，是否有任何标准的方式告诉服务器在没有响应的情况下断开连接？如果没有，是否有一些标准的标头可以在常见的 Web 服务器中实现（我在想 Nginx 或 Apache）？即使没有标准标头，是否有合理的方法来配置该行为？这是傻子的差事吗？

我将通过 2007 年和 2010 年的OWASP前10名列表。

我偶然发现了跨站点请求伪造（CSRF），这通常被称为会话骑行，因为您让用户使用他的会话来满足您的愿望。

现在对此的解决方案是向每个 url 添加一个令牌，并为每个链接检查这个令牌。

例如，要对产品 x 进行投票，网址将是：

这看起来像是一个可靠的解决方案，因为黑客无法猜测令牌。

但我在考虑以下场景（我不知道是否可能）：

您创建一个带有隐藏 iFrame 或 div 的网站。之后，您可以使用普通的 iFrame 或 ajax 在其中加载我的网站。

当您将我的网站加载隐藏在您的网站内，并且用户有一个存储的会话时，可以执行以下操作。您可以从 URLS 中检索令牌，并且仍然执行所有需要的操作。

有没有可能做这样的事情。或者不可能做这个跨域。

我正在查看用于验证（OWASP Regex Repository）中的各种数据类型的正则表达式。

其中一个正则表达式被调用safetext，看起来像：

我的第一个问题是：
这个正则表达式正确吗？

补充问题
如果这个正则表达式存储库有什么好处吗？

更新
我主要对未转义的.

针对 SQL 注入缺陷的典型控制措施是使用绑定变量（cfqueryparam 标记）、验证字符串数据以及转向实际 SQL 层的存储过程。这一切都很好，我同意，但是如果该站点是旧站点并且具有很多动态查询，该怎么办。然后，重写所有查询是一项艰巨的任务，需要大量的回归和性能测试。我正在考虑使用动态 SQL 过滤器并在调用 cfquery 进行实际执行之前调用它。

我在 CFLib.org ( http://www.cflib.org/udf/sqlSafe ) 中找到了一个过滤器：

这似乎是一个非常简单的过滤器，我想知道是否有办法改进它或提出更好的解决方案？

在最近的一次 PCI 审计中，审计员说我们存在重大安全风险，因为

1. 可以从我们的网站下载静态资源，例如图像 css 和 javascript，而无需事先验证。
2. 我们的 javascript 中有注释。

我个人认为这根本不是安全风险。图像 css 和 javascript 不是动态创建的，它们不包含关于我们的后端、客户详细信息和机制的数据。

javascript 中的注释只是简单地解释了 javascript 文件中的方法的作用。任何读过 JS 的人都可以发现。

那如何显示“信息泄露”？

javascript中的注释真的有安全风险吗？

我正在寻找 ASP.Net 中最好的可重用库和内置功能，以防止 OWASP 十大安全漏洞，如注入、XSS、CSRF 等，以及用于检测这些漏洞的易于使用的工具，以供测试团队使用。

您认为在开发生命周期中何时开始将安全编码整合到应用程序中的最佳时机？