Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

XSS açığı

dinar

Selamlar, forumda yeniyim, biraz araştırdım konulara falan baktım ama tam cevap bulamadım.

Githubda bazı laravel projelerine falan bakıyorum form tarafından veriyi gönderiyorlar ve controllerda xss açığına falan dikkat etmeden validation işlemlerini yaptıktan sonra veritabanına kayıtı gerçekleştiriyorlar. Peki bu XSS açığı değil midir? bunun önüne nasıl geçiyorlar?

mgsmus

dinar Veriyi alırken değil basarken XSS açığına maruz kalırsınız çünkü kodun çalıştırılması gerekiyor ki saldırı olsun, o da ekrana basarken gerçekleşir. O yüzden ekrana basarken htmlspecialchars kullanmanız lazım. Blade kullanıyorsanız veriyi ekrana basarken {{ }} ifadeleri arasında ekrana bastığınızda htmlspecialchars kullanılmış oluyor. Veriyi içeri alırken ise validation 100% olmasa da zaralı kodu almanızı engeller ama şunu da unutmayın, validation'ın amacı zaralı kodu engellemek değil sadece uygun veriyi almak. Kullanıcının HTML girdiği bir alanı içeriye alıyorsanız validation XSS'e neden olacak kodu ayırt etmenizi sağlamaz. Onun için HTMLPurifier ya da benzeri bir şeyler kullanarak kodu kendinize göre filtrelemeniz lazım.

dinar

mgsmus anladım teşekkürler 🙂

BoraN7

mgsmus HTMLPurifier da kurgu nasıl olmalı? Veri kaydedilirken validation öncesi mi kullanılmalı ya da kaydedilirken sadece validation kullanılıp, veriyi basarken mi Purifier dan geçirilmeli?
Internetten biraz bakındigimda soyle bir yorum gördüm, size de sormak istedim :

Veritabani, verinin ne olduğu ile ilgilenmez. DB'ye kaydederken değil, veriyi basarken Purifier kullanın

mgsmus

BoraN7

BoraN7 Veritabani, verinin ne olduğu ile ilgilenmez. DB’ye kaydederken değil, veriyi basarken Purifier kullanın

Normal veriler için; ekrana basarken zararlı kodları temizleyip basmazsınız, kodlar tamamen çalışmayacak şekilde basarsınız, yani PHP için konuşursak htmlspecialchars ile. Bu durumda adam adı kısmına <script>alert("xss")</script> yazdıysa ekrana da adı kısmında <script>alert("xss")</script> yazar. Aynı şu an benim forumda yazdığım gibi. Forum da escape yapıyor, kod çalışmıyor direkt görüyorsunuz sadece. Bunu engellemek için ne yapmanız lazım? Validation tabi ki. Adamın adı <>(&{ gibi özel karakterler içermemesi lazım. Filtrelemezsiniz, direkt engel olursunuz. Filtrelemek sizin göreviniz değil; kullanıcının veriyi düzgün girme yükümlülüğü var, siz niye adamın adını düzeltmekle uğraşasınız ki, düzgün yazsın, yazmazsa güle güle.

HTML veri olduğu zaman ise işin rengi değişiyor çünkü o veriyi çalışacak şekilde basmanız lazım ki ekranda sonuç olarak çıktıyı alabilesiniz. Bir html içerik editörü ile uğraştığınızı düşünün mesela. Bu durumda işte purifier gibi bir şey kullanarak veriyi filtrelemeniz lazım. Kaydederken filtrelemeyeceksiniz, direkt engel olacaksınız; basarken ise her ihtimale karşı filtreleyeceksiniz. Bunun standart bir yolu yok, purifier ile kendi kurallarınızı oluşturup neye izin verip vermeyeceğinizi belirlemeniz lazım.