หัวข้อ: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่ เริ่มหัวข้อโดย: nscyber ที่ 12 พฤศจิกายน 2017, 16:07:23 เนื่องจาก Ckeditor เป็นตัวที่ใช้ง่าย ติดตั้งง่าย และสามารถตกแต่งข้อความได้เหมือน word และสะดวก
ปกติผมจะใช้แค่แอดมินเท่านั้นแต่มีอยู่ว่าผมอยากนำมาให้สมาชิกใช้ได้ เลยอยากท่านที่เคยใช้และเคยพบปัญหา Ckeditor จะมั่นใจในช่องโหว่ได้แค่ไหนครับว่าจะไม่โดน XSS หรือการแทรกสคริปเพราะขนาด HTML ยังผ่านไปได้ ถ้าผ่านไม่ได้มันก็แค่ textarea ดีๆ นี่เอง อยากขอคำแนะนำครับ ช่องโหว่ส่วนนี้ผมไม่อยากให้มันเกิดจริงๆหรือท่านใดมีค่ายอื่นแนะำที่ปลอดภัยกว่า ขอบคุณครับ :P :P :P หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่ เริ่มหัวข้อโดย: vii ที่ 14 พฤศจิกายน 2017, 08:25:12 1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย. 3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย. หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่ เริ่มหัวข้อโดย: nscyber ที่ 14 พฤศจิกายน 2017, 21:08:50 1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ. 2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย. 3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย. +1 ขอบคุณครับ ขอบคุณสำหรับไอเดียมาก ๆ ครับ ส่วน ข้อ 3 พอดีผมใช้ CI มันจะปัดพวก html ไปหมดครับ ซึ่งถ้าปิดการทำงาน พวกสคริปก็จะแทรกได้ หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่ เริ่มหัวข้อโดย: ossytong ที่ 25 พฤศจิกายน 2017, 23:37:37 ไม่ได้เป็นปัญหาที่ Ckeditor เลย
Concept เวลาจะแสดงผลใน View ให้ใช้ htmspecialcharsencode ซะก็ไม่โดน XSS แล้ว |