Attualmente valutando un'applicazione, ho scoperto che è possibile inviare un riempimento SVG contenente Javascript (l'app è vulnerabile anche a XXE). Mi chiedevo se esistesse un metodo per prevenire tali vulnerabilità e proteggere il modulo di invio SVG? Come essere sicuri che tutti i metodi di offuscamento vengano catturati?
In primo luogo, ho sviluppato un approccio blacklist ma dal punto di vista della sicurezza, si tratta di un approccio molto pessimo. Cosa mi consigli?
Dai un'occhiata a questo post sul blog fantastico che è stato recentemente pubblicato dal ricercatore della sicurezza Robin (@digininja) su questo esatto argomento.
Vista diretta con disposizione del contenuto: allegato - non vulnerabile - Le intestazioni vengono inviate per forzare il download del file.
Vista diretta con CSP - non vulnerabile - La politica di sicurezza dei contenuti è impostata per disabilitare JavaScript in linea.
Tag immagine - non vulnerabili - L'SVG è referenziato tramite tag immagine che impediscono gli script.
Tag con CSP - non vulnerabile - Tag immagine e lo stesso CSP di cui sopra per la doppia protezione.
Leggi altre domande sui tag javascript svg obfuscation xss xxe