Я часто задавался вопросом: зачем использовать белый список, а не черный, при очистке ввода HTML?
Сколько хитрых HTML-трюков существует для открытия XSS-уязвимостей? Очевидно, что теги скриптов и фреймы не разрешены, и для полей в элементах HTML будет использоваться белый список, но зачем запрещать большую часть всего?
Если вы исключите что-то из белого списка, вы просто сломаете что-то, что не было достаточно важным для вас, чтобы думать о нем в первую очередь.
Если вы оставляете что-то вне черного списка, вы открываете большую дыру в безопасности.
Если браузеры добавляют новые функции, ваш черный список устаревает.
Только вчера что-то читал об этом. Он находится в руководстве feedparser.
Фрагмент:
Чем больше я исследую, тем больше случаев, когда Internet Explorer для Windows воспринимает, казалось бы, безобидную разметку как код и беспечно выполняет ее. Вот почему Universal Feed Parser использует белый, а не черный список. Я достаточно уверен, что ни один из элементов или атрибутов в белом списке не представляет угрозы безопасности. Я совсем не уверен в элементах или атрибутах, которые я явно не исследовал. И я совсем не уверен в своей способности обнаруживать строки в значениях атрибутов, которые Internet Explorer для Windows будет интерпретировать как исполняемый код. Я не буду пытаться сохранить «только хорошие стили». Все стили убраны.
Существует серьезный риск, если вы занесете в черный список только некоторые элементы и забудете о важном. Когда вы добавляете в белый список некоторые теги, которые, как вы знаете, являются безопасными, риск того, что вы допустите что-то, чем можно злоупотреблять, меньше.
Несмотря на то, что теги script и теги кадров не разрешены, вы все равно можете поместить любой тег, подобный этому.
<test onmouseover=alert(/XSS/)>mouse over this</test>
и многие браузеры работают.
Потому что тогда вы будете уверены, что ничего не пропустите. Явно разрешая некоторые теги, вы, очевидно, имеете больший контроль над тем, что разрешено.
Белые списки используются в большинстве тем, связанных с безопасностью. Подумайте о брандмауэрах. Первое правило — блокировать любой (входящий) трафик, а затем открывать только те порты, которые должны быть открыты. Это делает его намного более безопасным.
Потому что другие теги могут нарушить макет страницы. Представьте, что произойдет, если кто-то введет тег <style>. Тег <object> также опасен.
</div> тоже мог бы это сделать, я полагаю
- person Carson Myers; 19.03.2010
<object> вообще существует.
- person Carson Myers; 19.03.2010
Я предпочитаю использовать и то, и другое. Я называю это подходом «Черный список с упрощенным белым списком»:
Этот черный список действует как переключатель для тегов/атрибутов в смягченном белом списке.
Такой подход «Черный список с упрощенным белым списком» значительно упрощает настройку фильтра очистки.
Например, белый список может содержать все теги и атрибуты html5. В то время как черный список может содержать теги и атрибуты, которые необходимо исключить.
Чем больше вы разрешаете, тем больше ухищрений остается для умных хакеров, чтобы внедрить какой-нибудь неприятный код на вашу веб-страницу. Вот почему вы хотите позволять как можно меньше.
См. лекцию Рубен ван Вриланд Как мы взломали LinkedIn и что произошло дальше для хорошего ознакомления с XSS-уязвимостями и почему вы хотите, чтобы ваш белый список был максимально строгим!
