search

Cara menggunakan htmlspecialchars xss

Ngày đăng: 06/10/2022
Trả lời: 0
Lượt xem: 112

Cross-postingan ini sebagai referensi terkonsolidasi dari SO Beta dokumentasi yang sedang offline.

Show

Masalah

Skrip lintas situs adalah eksekusi kode jarak jauh yang tidak disengaja oleh klien web. Aplikasi web apa pun dapat membuka dirinya ke XSS jika mengambil input dari pengguna dan mengeluarkannya langsung di halaman web. Jika input menyertakan HTML atau JavaScript, kode jarak jauh dapat dijalankan ketika konten ini diberikan oleh klien web.

Misalnya, jika pihak ke-3 berisi file JavaScript:

// http://example.com/runme.js
document.write("I'm running");

Dan aplikasi PHP secara langsung menampilkan string yang dilewatkan ke dalamnya:

' . $_GET['input'] . '
';

Jika parameter GET yang tidak dicentang mengandung maka output dari skrip PHP adalah:

JavaScript pihak ke-3 akan berjalan dan pengguna akan melihat "Saya sedang menjalankan" di halaman web.

Larutan

Sebagai aturan umum, jangan pernah percaya input yang datang dari klien. Setiap nilai GET, POST, dan cookie dapat berupa apa saja, dan karenanya harus divalidasi. Saat mengeluarkan salah satu dari nilai-nilai ini, lepas dari nilai-nilai ini sehingga tidak akan dievaluasi dengan cara yang tidak terduga.

Ingatlah bahwa bahkan dalam aplikasi yang paling sederhana sekalipun data dapat dipindahkan dan akan sulit untuk melacak semua sumber. Karena itu merupakan praktik terbaik untuk selalu keluar dari output.

PHP menyediakan beberapa cara untuk menghindari output tergantung pada konteksnya.

Fungsi Filter

Fungsi Filter PHPs memungkinkan input data ke skrip php menjadi dibersihkan atau divalidasi di banyak cara . Mereka berguna saat menyimpan atau mengeluarkan input klien.

Pengkodean HTML

htmlspecialchars akan mengonversi "karakter khusus HTML" apa pun menjadi penyandian HTML mereka, yang berarti mereka kemudian tidak diproses sebagai HTML standar. Untuk memperbaiki contoh kami sebelumnya menggunakan metode ini:

' . htmlspecialchars($_GET['input']) . '';
// or
echo '
' . filter_input(INPUT_GET, 'input', FILTER_SANITIZE_SPECIAL_CHARS) . '
';

Akan menghasilkan:

<script src="http://example.com/runme.js"></script>

Segala sesuatu di dalam tag

akan tidak ditafsirkan sebagai tag JavaScript oleh browser, tetapi sebagai simpul teks sederhana. Pengguna akan melihat:

Pengkodean URL

Saat mengeluarkan URL yang dihasilkan secara dinamis, PHP menyediakan fungsi urlencode untuk menghasilkan URL yang valid dengan aman. Jadi, misalnya, jika pengguna dapat memasukkan data yang menjadi bagian dari parameter GET lainnya:

Link';

Setiap input jahat akan dikonversi ke parameter URL yang disandikan.

Menggunakan perpustakaan eksternal khusus atau daftar AntiSamy OWASP

Terkadang Anda ingin mengirim HTML atau input kode jenis lain. Anda perlu mempertahankan daftar kata yang diotorisasi (daftar putih) dan tidak resmi (daftar hitam).

Anda dapat mengunduh daftar standar yang tersedia di situs web OWASP AntiSamy . Setiap daftar cocok untuk jenis interaksi tertentu (ebay api, tinyMCE, dll ...). Dan itu adalah open source.

Ada perpustakaan yang ada untuk menyaring HTML dan mencegah serangan XSS untuk kasus umum dan melakukan setidaknya serta daftar AntiSamy dengan penggunaan yang sangat mudah. Misalnya Anda memiliki Pemurni HTML

Cara menggunakan htmlspecialchars xss

Cross Site Scripting , atau yang lebih dikenal dengan “XSS”. Cross Site Scripting (XSS) Dilakukan oleh si penyerang dengan memasukkan kode HTML yang akan di eksekusi oleh webserver. Bug ini masuk kedalam kategori bug yang fatal, karena penyerang dapat mencuri cookies dari sebuah web. Bagaimana cara menutup celah keamanannya?, kita bisa menggunakan htmlentities(), dan htmlspecialchars(). Dibawah ini adalah salah satu simulasi dari bagaimana source code sebuah website yang rentan terhadap bug Cross Site Scripting (XSS) dan cara menutup Bug nya.

setelah selesai coding source code diatas, kita save dengan extensi .php, setelah itu langsung kita upload ke hosting. Teman teman belum memiliki hosting? langsung saja kunjungi https://host.theblackpaper.org atau chat nomor dibawah ini +6282230589068 untuk membeli hosting berkualitas dengan harga yang bersahabat. Setelah kita upload di hosting, terdapat sebuah form. Kita coba masukkan kode html untuk melihat bug Cross Site Scripting (XSS). Berikut adalah kodenya 

test Bug Cross Site Scripting (XSS)

setelah kita masukkan di form tersebut, klik enter pada keyboard teman teman. Bisa dilihat, terdapat teks yang diberi garis bawah, hal ini menunjukkan bahwa website tersebut memiliki celah keamanan Cross Site Scripting (XSS). Bagaimana cara menutup kerentanannya ya?, kita gunakan htmlspecialchars() atau htmlentities(). Disini saya menggunakan htmlspecialchars() untuk mengkonversi 4 karakter khusus HTML, Diantaranya adalah <, >, & dan “, karakter yang dikonversikan ini tidak akan diproses oleh webserver dehingga tidak akan terjadi serangan Cross Site Scripting (XSS). Yuk kita ubah source codenya..

Kita ganti file sebelumnya dengan source code yang baru, masukkan kode HTML Dibawah ini di form yang ada.

test Bug Cross Site Scripting (XSS)

bisa kita lihat, kode yang kita masukkan di form yang ada tidak diproses oleh webserver. Teks yang muncul sama dengan apa yang telah kita masukkan di form, termasuk kode yang telah kita masukkan. Sekian artikel kali ini, Terima kasih

kode html Cara XSS Prevent xss Codeigniter DOM XSS adalah

Bài Viết Liên Quan

Cara menggunakan save image temporary python
Cara menggunakan save image temporary python

kode python
Ekstensi kode studio visual html css
Ekstensi kode studio visual html css

kode html
Https notfound PHP
Https notfound PHP

Cara menggunakan integer to date python
Cara menggunakan integer to date python

kode python
Python mengganti karakter dalam file teks
Python mengganti karakter dalam file teks

kode python
Cara mengecek nomor npwp yang hilang
Cara mengecek nomor npwp yang hilang

Bagaimana Anda membuat diagram di mysql?
Bagaimana Anda membuat diagram di mysql?

kode mysql
Cara menggunakan contoh perulangan while php
Cara menggunakan contoh perulangan while php

kode php
Marksheet code in JavaScript
Marksheet code in JavaScript

Cara menggunakan perintah dasar python
Cara menggunakan perintah dasar python

kode python
Cara menggunakan baris ungroup di excel
Cara menggunakan baris ungroup di excel

kode excel
Apakah bisa transfer dari OVO ke GoPay?
Apakah bisa transfer dari OVO ke GoPay?

Cara menghapus squarespace javascript yang tidak terpakai
Cara menghapus squarespace javascript yang tidak terpakai

kode javascript
Bagaimana Anda mengarahkan ke halaman lain di html setelah mengirimkan?
Bagaimana Anda mengarahkan ke halaman lain di html setelah mengirimkan?

kode html
Scrape website to Excel
Scrape website to Excel

Cara menggunakan php max_input_vars not updating
Cara menggunakan php max_input_vars not updating

kode php
Cara menggunakan website forum php
Cara menggunakan website forum php

kode php
Cara aktivasi kartu BRIZZI di ATM BRI
Cara aktivasi kartu BRIZZI di ATM BRI

Cara menggunakan const javascript adalah
Cara menggunakan const javascript adalah

kode javascript
Cara menggunakan mysql aplikasi apa?
Cara menggunakan mysql aplikasi apa?

kode mysql

Có thể bạn quan tâm

Google Sheets difference between two columns
1 năm trước . bởi RepublicanNetworking
Cara mengunduh kamus dengan python
1 năm trước . bởi ChunkySending
Apa perbedaan list dan array pada python?
1 năm trước . bởi DisastrousMaple
How do I push data from one Excel workbook to another?
1 năm trước . bởi SorrowfulCountryman
Cara menggunakan raise vs return python
1 năm trước . bởi SatisfyingInstruction
Cara konfigurasi mysql di xampp
1 năm trước . bởi BindingMortality
Spreadsheet odoo
1 năm trước . bởi LastingMahogany
Cara mengubah server phpmyadmin
1 năm trước . bởi HandmadeWaitress
Cara membuat paragraf di css
1 năm trước . bởi IndeterminateIndicator
Cara menggunakan perbedaan laravel dan php
1 năm trước . bởi TeemingAesthetics

Xem Nhiều

Chúng tôi

Điều khoản

Trợ giúp

Mạng xã hội

DMCA.com Protection Status
Bản quyền © 2021 Inc.