Tấn công XSS và ngăn chặn với HTML Purifier
Đăng trong danh mục PHP, security bởi admin | Tags: attack, cross site scripting, escape output, FIEO, filter input, hacking, html purifier, htmlpurifier, reflected xss, scripting, security, stored xss, xss
Cùng với nhu cầu viết các ứng dụng ngày càng mở rộng chức năng cho người dùng, thì các chức năng cho phép thành viên post nội dung là một thao tác tất yếu. Tuy nhiên, cho phép thành viên gởi nội dung sẽ làm phát sinh rất nhiều nguy cơ đe dọa tới sự an toàn của website, trong đó có một mối đe dọa rất phổ biến đó là tấn công Cross-Site Scripting (XSS).
Nói sơ qua về tấn công XSS. XSS hiện tồn tại 2 hình thức là Stored XSS và Reflected XSS. Stored XSS là hình thức tấn công mà ở đó cho phép kẻ tấn công có thể chèn một đoạn script nguy hiểm (thường là Javascript) vào website của chúng ta thông qua một chức năng nào đó (vd: viết lời bình, guestbook, gởi bài..), để từ đó khi các thành viên khác truy cập website sẽ bị dính mã độc từ kẻ tấn công này, các mã độc này thường được lưu lại trong database của website chúng ta nên gọi là Stored. Stored XSS phát sinh do chúng ta không lọc dữ liệu do thành viên gởi lên một cách đúng đắn, khiến cho mã độc được lưu vào Database của website.
Hình thức thứ 2 là Reflected XSS. Trong hình thức này, kẻ tấn công thường gắn thêm đoạn mã độc vào URL của website chúng ta và gởi đến nạn nhân, nếu nạn nhân truy cập URL đó thì sẽ bị dính mã độc. Điều này xảy ra do ta không chú ý filter input từ URL của website mình.
Tấn công XSS là tấn công nguy hiểm, cho phép kẻ tấn công ăn cắp thông tin trên máy nạn nhân thông qua javascript như ăn cắp cookie, chèn mã độc để chiến quyền điều khiển…
—————————————–
Như vậy, để phòng chống tốt nhất XSS là theo nguyên tắc FIEO (Filter Input, Escape Output). Để làm việc này thì hiện tại có khá nhiều bộ lọc để chúng ta lựa chọn. Hôm nay mình giới thiệu tới các bạn một bộ thư viện viết bằng PHP cho phép filter HTML để ngăn chặn kẻ xấu post mã độc XSS thông qua website của bạn, đó là HTML Purifier. Website: http://htmlpurifier.org/
Nói sơ qua về HTML Purifier thì đây là bộ thư viện rất mạnh dùng triển khai trong code của mình để chống XSS. Được xây dựng theo mô hình OOP nên sử dụng rất dễ, sau thao tác include file thư viện, chỉ cần tạo instance của đối tượng HTML Purifier và gọi phương thức purify() là có thể filter được dữ liệu đầu vào.
require_once '/path/to/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
$clean_html = $purifier->purify($dirty_html);
Bảng so sánh giữa các bộ thư viện filter HTML để chống XSS:
Một số chức năng chính của thư viện HTML Purifier
Hy vọng bài viết này cung cấp cho các bạn phần nào về mối đe dọa và phòng tránh XSS trong quá trình triển khai ứng dụng web của bạn.
Bài viết liên quan:
4 Lời bình cho bài viết “Tấn công XSS và ngăn chặn với HTML Purifier”
Viết lời bình
Bình luận mới nhất
- [Slide] Hội thảo: Heavy Web Optimization – Front-end
"Trên blog cá nhân của mình cũng có những bài viết cho việc tối ưu hóa " - TMQuang - phpmailer gởi mail SMTP bằng Gmail/Google Apps
"mình muốn đính kèm theo tập tin thì sao nhỉ" - Hòa - Mạng xã hội và thị trường Châu Á
"@admin, "Còn về mô hình “" - Dior - Lưu dữ liệu đa ngôn ngữ trong Database
"@viet_it_pro, cau truy " - viet_it_pro - Lưu dữ liệu đa ngôn ngữ trong Database
"@Quang Huỳnh, Bài bình luậ" - viet_it_pro - [Slide] Hội thảo: Heavy Web Optimization – Front-end
"Anh ơi cho em hỏi, làm thế nào để nhận mail google bằng php, anh có th" - Đặng Trung Kiên - Làm IT nên đọc ebook của nhà xuất bản nào?
"@Lê Hoàng Dũng, Mình thấy" - quang - Thư viện Khoa học tổng hợp TPHCM
"cảm ơn bài viết, mặc dù đã sinh sống ở Saigon khá lâu , nay mình mới c" - NHUNG - phpmailer gởi mail SMTP bằng Gmail/Google Apps
"Chào anh Tuấn, tut của anh em đã đọc, cảm ơn anh đã chia sẻ. Tuy nhiên" - Trần Đình Trọng - Review sách: Cuốn sách hoàn hảo về ngôn ngữ cơ thể
"Review chi tiết, nếu nhìn qua thì chưa chắc mình đã chú ý. Thanks!" - fire
Sách nói: Hiểu về trái tim - Minh Niệm
Danh mục
- android (2)
- Business (24)
- Flash (1)
- Graphic Design (16)
- IT Guys (1)
- Javascript (9)
- Miscellaneous (58)
- Photography (9)
- PHP (38)
- Review sách (13)
- Search Engine Optimization (2)
- security (2)
- software (5)
- User Interface Design & Usability (8)
- Web Design (28)
- Web Programming (48)
Lưu trữ
- February 2012 (1)
- January 2012 (1)
- December 2011 (1)
- November 2011 (2)
- September 2011 (2)
- August 2011 (1)
- July 2011 (4)
- June 2011 (2)
- May 2011 (2)
- April 2011 (2)
- March 2011 (2)
- February 2011 (2)
- January 2011 (4)
- December 2010 (6)
- November 2010 (3)
- October 2010 (3)
- September 2010 (5)
- August 2010 (6)
- July 2010 (5)
- June 2010 (2)
- May 2010 (5)
- April 2010 (7)
- March 2010 (8)
- February 2010 (4)
- January 2010 (10)
- December 2009 (12)
- November 2009 (12)
- October 2009 (15)
- September 2009 (16)
- August 2009 (11)
- July 2009 (15)
- November 2008 (1)
- October 2008 (1)
- September 2008 (3)
Tags
Sách đang đọc
December 2, 2009 at 8:52 am
[...] công XSS và ngăn chặn với HTML Purifier Tấn công XSS và ngăn chặn với HTML Purifier Cùng với nhu cầu viết các ứng dụng ngày càng mở rộng chức năng cho người [...]
May 9, 2011 at 5:01 pm
Cảm ơn anh, bài viết rất thực tế ! Em đang có ý định tìm hiểu bảo mật web thì google vào ngay blog của anh, mong sao này sẽ có nhiều bài viết hay của anh về lĩnh vực bảo mật.
[Reply]
May 27, 2011 at 8:59 am
Cám ơn bài viết của bạn.
[Reply]
November 14, 2011 at 11:19 pm
Chào bạn
Mình có down thử về dùng, nhưng gặp trở ngại ở chổ là nó tạo cache ra, trên site nó có ghi là
$config->set(‘Core’, ‘DefinitionCache’, null);
Để tắt chức năng đó đi, nhưng nó lại ko chỉ đối tượng $config đó từ đâu ra, bạn đã dùng qua rồi chắc biết nó ở đâu nhỉ
[Reply]