XSS Blacklist - Кто-нибудь знает о разумном?

Question

Как временное быстрое исправление для устранения основного риска при работе с постоянным исправлением уязвимости XSS в очень большой базе кода, я ищу уже существующий черный список предотвращения XSS, который делает разумную работу по защите от XSS.

Предпочтительно набор регулярных выражений. Я знаю множество чит-листов для тестирования и тестов на дым и т. Д., То, что я ищу, - это предварительно настроенные регулярные выражения для блокировки атак.

Я полностью осознаю, что лучший способ - output escaping, или если вам нужна небольшая разметка пользователей для использования белого списка. Но с размером базы кода нам нужно что-то быстро, чтобы уменьшить непосредственный след уязвимости и поднять планку при работе над реальным решением.

Кто-нибудь знает о хорошем наборе?

Answer 1

Я понимаю, что это может быть не прямой ответ на ваш вопрос, но разработчики ASP.NET в подобной ситуации может оказаться полезным,:

Microsoft Anti-Cross Site Scripting Library V1.5

Эта библиотека отличается от большинства библиотек кодирования в что он использует технологию «принципа включений» для обеспечения защиты от атак XSS. Этот подход работает, сначала определяя допустимый или допустимый набор символов, и кодирует что-либо вне этого набора (недопустимые символы или потенциальные атаки). Принцип подхода включения обеспечивает высокую степень защиты от атак XSS и подходит для веб-приложений с высокими требованиями безопасности.

Answer 2

Адрес: http://ha.ckers.org/xss.html, но я не знаю, если он будет готов.

CAL9000 - еще один список, где вы можете найти что-то в этом роде.

Answer 3

Если вы запустите Apache, вы можете использовать mod_security, чтобы закрыть некоторые отверстия. По крайней мере, он предоставит вам инструмент (console или обычный файл журнала), чтобы отслеживать трафик и реагировать, пока не стало слишком поздно. Кроме того, у gotroot.com есть пара интересных правил для веб-приложений.

Опять же, я не знаю, какие отверстия вы закрываете.

Answer 4

Шифрованный лист на ha.ckers.org/xss.html не является полным. Один мой коллега нашел один или два, которых там нет. RSnake перечисляет многие из фильтров регулярных выражений, по которым проходит каждая строка атаки. Используйте несколько, и вы можете закрыть достаточно отверстий.

Это было бы хорошим стартовым местом. Если ничего другого, не знаю, какие вещи вам нужно искать.

Используйте это как место для начала и убедитесь, что скрипты, которые вы пишете, позволяют избежать достаточного количества символов, чтобы совершать любые атаки, которые ваши черные списки пропускали, окажутся доброкачественными. Какая польза от xss-инъекции, если браузер не делает это?

На самом деле, избегая достаточного количества правильных персонажей, здесь идет большая часть пути. Это довольно трудно внедрить XSS в сценарий, который превращает каждый < в < и побегах "в "

Answer 5

Не уверен, что если вы используете PHP, но если это так, вы должны смотреть на HTMLPurifer Это чрезвычайно прост в использовании.. просто добавьте вызов метода purify(), в котором вы принимаете свой ввод, или где вы его выводите.Его подход на основе белых списков блокирует каждую атаку XSS, с которой я тестировал ее.

Answer 6

Что вы хотите, это IDS (система обнаружения вторжений). Если вы используете PHP, есть PHPIDS. Он поддерживается и тестируется превосходным сообществом хакеров. Они бросали на него всевозможные вещи, чтобы улучшить фильтры, далеко за пределами первоначального списка Rsnake. Там был также порт .NET, не уверен, что он все еще поддерживается.