ThaiSEOBoard.com

พัฒนาเว็บไซต์ => Programming => ข้อความที่เริ่มโดย: nscyber ที่ 12 พฤศจิกายน 2017, 16:07:23



หัวข้อ: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
เริ่มหัวข้อโดย: nscyber ที่ 12 พฤศจิกายน 2017, 16:07:23
เนื่องจาก Ckeditor เป็นตัวที่ใช้ง่าย ติดตั้งง่าย และสามารถตกแต่งข้อความได้เหมือน word และสะดวก
ปกติผมจะใช้แค่แอดมินเท่านั้นแต่มีอยู่ว่าผมอยากนำมาให้สมาชิกใช้ได้ เลยอยากท่านที่เคยใช้และเคยพบปัญหา
Ckeditor จะมั่นใจในช่องโหว่ได้แค่ไหนครับว่าจะไม่โดน XSS หรือการแทรกสคริปเพราะขนาด HTML ยังผ่านไปได้
ถ้าผ่านไม่ได้มันก็แค่ textarea ดีๆ นี่เอง

อยากขอคำแนะนำครับ ช่องโหว่ส่วนนี้ผมไม่อยากให้มันเกิดจริงๆหรือท่านใดมีค่ายอื่นแนะำที่ปลอดภัยกว่า ขอบคุณครับ

 :P :P :P


หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
เริ่มหัวข้อโดย: vii ที่ 14 พฤศจิกายน 2017, 08:25:12
1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.


หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
เริ่มหัวข้อโดย: nscyber ที่ 14 พฤศจิกายน 2017, 21:08:50
1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.

+1 ขอบคุณครับ
ขอบคุณสำหรับไอเดียมาก ๆ ครับ ส่วน
ข้อ 3 พอดีผมใช้ CI มันจะปัดพวก html ไปหมดครับ ซึ่งถ้าปิดการทำงาน พวกสคริปก็จะแทรกได้


หัวข้อ: Re: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
เริ่มหัวข้อโดย: ossytong ที่ 25 พฤศจิกายน 2017, 23:37:37
ไม่ได้เป็นปัญหาที่ Ckeditor เลย

Concept เวลาจะแสดงผลใน View ให้ใช้ htmspecialcharsencode ซะก็ไม่โดน XSS แล้ว