Nihayet mantıklı yoldan XSS Filtrelemesi

30-11-2006

Her zaman her durumda Whitelisting in güvenliğinden bahsederiz ancak bugün kadar kimse adam gibi whitelisting yapan XSS filtresi (Microsoft Anti-XSS Library ve benzerleri de buna dahil) yazmamıştı. Ana neden bariz tabii ki çok zaman alıcı bir iş olması. Lakin bir sene kadar önce bir proje için geliştirecektik ancak sonradan iptal oldu.

HTML Purifier bu işi whitelisting ile yapmış. Tam olarak HTML whitelisting yapan ilk library sanırım. En azından public olarak.

Bu arada tabii ki bu herşeyi çözmüyor, hala Javascript olmadan HTML injection atakları var, Partial XSS ataklar var, myspace te olduğu gibi site üzerinden phising ataklar yapma ihtimali var. Dolayısıyla hala full HTML e izin vermemek için yüzlerce nedeniniz var.

Bu sistemi alır ve gereksiz şeyleri temizler, özellikleri kısıtlarsanız (lockdown) çok iyi olabilir.

Whitelisting ve Blacklisting;
Bu arada whitelisting güvenli olduğu bilenen şeylere izin verme, blacklisting ise sadece kötüleri egale etmeye çalışma. Blacklisting genelde çökmeye mahkum security trough obscurity tarzı bir hareket ve gelecekteki farklı ataklara ciddi şekilde açık.

Recent Blog Posts

See all of the blog posts