PHP跨站脚本攻击(XSS)漏洞修复思路（二）

张戈

发布于 2018-03-23 14:37:40

1.5K0

发布于 2018-03-23 14:37:40

文章被收录于专栏：张戈的专栏张戈的专栏

上一篇文章《PHP 跨站脚本攻击(XSS)漏洞修复方法（一）》写到了 360 修复 XSS 漏洞的插件并不完善的问题，那么这篇文章就来分享一下自己如何写代码修补这个漏洞。

从上一篇文章看出，部署了 360 出的 XSS 修复插件之后，至少还存在 iframe 无法过滤缺憾，是否还有其他纰漏目前还不得而知。

分析一下中国博客联盟和张戈博客已开放的数据入口：

①、中国博客联盟，主要有搜索、后台博客提交等； ②、张戈博客(WordPress)，主要是用户评论提交；

所以，本文就已这 2 个入口为例子，来分享 XSS 漏洞修复的简单思路。

一、完全过滤

问题①，我可以找到站内搜索和博客提交这 2 个开放入口的数据处理 php，然后对数据过滤即可。

比如站内搜索，中国博客联盟取得搜索关键词是这样一行代码：

$keyword = addslashes(trim($_GET['query']));

考虑到中国博客联盟的站内搜索，只能搜索博客名称、域名、类型及描述这四种，而这四种均不需要出现 html 代码！如果有人提交搜索了 html 代码，绝非善意！

那对于这种情况，我只需要完全过滤掉 html 内容即可！所以可以用到 strip_tags()函数，具体运用如下：

$keyword = strip_tags(addslashes(trim($_GET['query'])));

在数据外套上 strip_tags 进行 html 完全过滤即可！那么系统后台得到的数据就是不含任何 html 代码的。

比如，依然搜索 360 爆出的“88888<iframe src=http://xxooxxoo.js>”：

从搜索结果可以看出，系统已自动过滤了后面的 iframe 恶意内容，问题得到解决。

因此，对于 XSS 漏洞的第一种修复方法就是使用 strip_tags 函数来完全过滤 html 内容。

二、代码转义

问题②，WordPress 的评论并不能如此暴力的过滤，因为很多用户确实是想提交一些 html 代码，来进行交流。

对于这种情况，有 3 种思路：

ajax 方式的评论都会用到主题下的 comment-ajax.php 文件，所以我们编辑这个文件，搜索$comment_type = ''，然后在这行后面添加以下三种方法中，你所中意的代码：

A. 直接过滤，允许提交

if ( '' != $comment_content ) {
    /* $filter 是需要过滤的关键词，关键词之间用分隔符 | 隔开即可。 */
    $filter = '/<(iframe|script)/i';
    if (preg_match($filter,$comment_content,$matches)) {
        $comment_content = strip_tags($comment_content);
    }
}

效果截图：

B. 提出警告，禁止提交

if ( '' != $comment_content ) {
    /* $filter 是需要过滤的关键词，关键词之间用分隔符 | 隔开即可。 */
    $filter = '/<(iframe|script)/i';
    if (preg_match($filter,$comment_content,$matches)) {
        err( __('警告：评论含有危险内容，已被拦截，请在更正后重试。') ); 
    }
}

效果截图：

C. 内容转义，允许提交

if ( '' != $comment_content ) {
    /* $filter 是需要过滤的关键词，关键词之间用分隔符 | 隔开即可。 */
    $filter = '/<(iframe|script)/i';
    if (preg_match($filter,$comment_content,$matches)) {
    $comment_content = htmlspecialchars($comment_content).'<br />（<font color="red">系统提示：评论含危险内容，已被转义处理。</font>）';
 }
}