Target | News |
Subject | anti-XSS system (4) |
Summary | This is the last chapter of BigUmbrella.The code in (3) has two points should be argued.- Is the check pattern OK?preg_match( '/[<\'"].{15}/s' , $val , $regs )<img src="(REQUEST)" /><a href="(REQUEST)">If this pattern exists, it is not enough.Because "... |
とにかく、JavaScriptで最も怖いのは、"XMLHttpRequest"なので、この文字列と、動的にXMLHttpRequestという関数名を生成・実行する"eval"の2つを検出することは最低限必要でしょう。