我真的很抱歉这样做,但这个问题代表我工作的网站上可能存在可利用的安全问题,因此我将使用新帐户发布此问题。
我们有一个接受用户评论的脚本(所有评论都是英文的)。我们在两年内积累了大约 3,000,000 条评论。我正在检查评论表是否有任何恶意行为的迹象,这次我扫描了撇号。在所有情况下都应该将其转换为 HTML 实体 ('),但我发现了 18 条记录(共 300 万条),该字符在其中幸存下来。真正让我头疼的是,在这 18 条评论的其中一条中,一个撇号实际上被成功转换——另一个幸存下来。
这向我表明我们可能存在 XSS 漏洞。
我的理论是,用户在使用非西方代码页的计算机系统上点击页面,并且他们的浏览器忽略了我们页面的 utf-8 字符集规范,他/她的输入没有得到转换为服务器的本地代码页,直到它到达数据库(因此 C# 无法将字符识别为撇号,因此无法转换它,但数据库会在它尝试将其写入 LATIN1 表时进行转换)。但这完全是猜测。
有没有人以前遇到过这个问题或者知道这是怎么回事?
更重要的是,有人知道如何测试我的脚本吗?移动到 HttpUtility 可能会解决这个问题,但直到我知道这是怎么发生的,我才能知道问题是否已解决。我需要能够对此进行测试,以了解我们的解决方案是否有效。
编辑
哇。已经 20 分了,所以我可以编辑我的问题。
我在我的一条评论中提到,我发现有几个字符似乎有问题。它们包括:0x2019、0x02bc、0x02bb、0x02ee、0x055a、0xa78c。这些直接通过我们的过滤器。不幸的是,它们也直接通过所有 HttpUtility 编码方法。但是一旦它们被插入到数据库中,它们就会被转换成一个实际的撇号或一个“?”。
回顾一下,我认为问题在于这些字符本身并不构成威胁,因此 HttpUtility 没有理由转换它们。在一段 Javascript 中,它们是无害的。在 HTML block 中,它们只是字符数据并且是无害的。在 SQL block 中它们是无害的(如果数据库共享相同的代码页)。我们的问题是因为我们在数据库中使用的代码页不同,数据库中的插入过程涉及将这些“不可打印”字符转换为“已知等价物”(在本例中为“坏”)和“未知等价物”(呈现为“?”)。这完全让我们措手不及,我对 MS 没有在他们的 HttpUtility 编码函数中构建更多内容感到有点失望。
我认为解决方案是更改受影响表的排序规则。但是,如果其他人有更好的主意,请在下面发布。
最佳答案
恕我直言,您在错误的地方过滤。数据库应包含用户输入的实际字符。您应该将 HTML 的转义留给表示层,它更清楚如何去做。
关于c# - 撇号通过 C# 中的过滤器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6222670/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
我正在使用puppet为ruby程序提供一组常量。我需要提供一组主机名,我的程序将对其进行迭代。在我之前使用的bash脚本中,我只是将它作为一个puppet变量hosts=>"host1,host2"我将其提供给bash脚本作为HOSTS=显然这对ruby不太适用——我需要它的格式hosts=["host1","host2"]自从phosts和putsmy_array.inspect提供输出["host1","host2"]我希望使用其中之一。不幸的是,我终其一生都无法弄清楚如何让它发挥作用。我尝试了以下各项:我发现某处他们指出我需要在函数调用前放置“function_”……这
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我想向我的Controller传递一个参数,它是一个简单的复选框,但我不知道如何在模型的form_for中引入它,这是我的观点:{:id=>'go_finance'}do|f|%>Transferirde:para:Entrada:"input",:placeholder=>"Quantofoiganho?"%>Saída:"output",:placeholder=>"Quantofoigasto?"%>Nota:我想做一个额外的复选框,但我该怎么做,模型中没有一个对象,而是一个要检查的对象,以便在Controller中创建一个ifelse,如果没有检查,请帮助我,非常感谢,谢谢
