PEAK XOOPS - Re: anti-XSS system (4) 
Re: anti-XSS system (4)
| Target | News |
| Subject | anti-XSS system (4) |
| Summary | 「大きな傘」(BigUmbrella)XSS対策システムの最終回。考察編です。(3)に示したコードには、議論の余地が2つ残っています。・疑うべきリクエストのパターンがそれで良いのか(3)で示したチェックパターンはこうです。preg_match( '/[<\'"].{15}/s' , $val , $regs )タグの... |
Re: anti-XSS system (4)
msg# 1.1.1.1
- depth:
- 3
Previous post
-
Next post
|
Parent
-
No child
|
Posted on 2006/7/14 15:03
GIJOE
Posts: 4110
Posts: 4110
Quote:「HTMLタグありのプレビュー」は、XSSの方ですね。
これだと、BigUmbrellaも効かないですし。
ただ、記事にも書きましたが、このHTMLプレビュー以外はすべてBigUmbrellaでXSSを封じ込める事ができるので、あとは、HTMLプレビューにチケットなりリファラーチェックなりを埋め込めばOKじゃないかと踏んでます。
Quote:私が書いたのは、承認制のチェックにおいて、ScriptInsertionが成立しているものが多い、という意味だったのですが、tohokuaikiさんのおっしゃる通り、承認行為そのものを、別途XSS+CSRFで強制する、なんて手はありますね。
ただ後者は、BigUmbrellaで防げるとは思いますが、ずっとベターな対策として、管理者承認にcapchaを導入するしか!
Quote:そうなんですよね。HTMLタグありのプレビュー機能がいかに難しいか・・・。今のところ、私は自分が納得できる範囲での解決方法が見つけられてないです。やはり外部からの「HTML許可」はあり得ない設定ですね。
これだと、BigUmbrellaも効かないですし。
ただ、記事にも書きましたが、このHTMLプレビュー以外はすべてBigUmbrellaでXSSを封じ込める事ができるので、あとは、HTMLプレビューにチケットなりリファラーチェックなりを埋め込めばOKじゃないかと踏んでます。
Quote:
Quote:管理者にCSRF攻撃を仕掛けられるだけですからね。承認制でも事実上意味のないケースが多く見られますし。
ただ後者は、BigUmbrellaで防げるとは思いますが、ずっとベターな対策として、管理者承認にcapchaを導入するしか!
Votes:1
Average:0.00
Posts tree
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 12:32)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/13 17:57)
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 18:47)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/14 15:03)
-
-
-
Login