È facile proteggere dall'iniezione SSI?

5

L'iniezione SSI è, per quanto ho capito, il processo di iniezione di comandi nei campi di input dell'utente, ad es.

<!--#exec cmd="ls" -->

per ottenere i file nella directory corrente. Tuttavia, anche se apparentemente potente, sembra incredibilmente facile da prevenire semplicemente convalidando i campi di input. Ad esempio, si può semplicemente verificare se i primi tre caratteri in qualsiasi campo di input sono <!- e impedire tali input.

C'è qualcosa che mi manca qui? Quando non è facile prevenire l'iniezione di SSI? Sono nuovo della sicurezza di rete, quindi ti preghiamo di perdonare eventuali malintesi che potrebbero esserci nel paragrafo precedente.

    
posta user328950 06.04.2016 - 21:04
fonte

1 risposta

2

Non è un attacco terribilmente difficile da prevenire. Direi che la prevenzione ha più a che fare con lo sviluppatore che è consapevole della sicurezza che con la complessità di impedirlo. Questo è vero per molte vulnerabilità di sicurezza.

Per rispondere alla tua domanda - no, non penso che ti manchi qualcosa. È solo questione di assicurarsi che gli sviluppatori stiano pensando alla sicurezza quando implementano funzionalità che utilizzano SSI.

    
risposta data 06.04.2016 - 21:32
fonte

Leggi altre domande sui tag