ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comพัฒนาเว็บไซต์Programmingขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่  (อ่าน 479 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
nscyber
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 45
ออฟไลน์ ออฟไลน์

กระทู้: 1,026



ดูรายละเอียด
« เมื่อ: 12 พฤศจิกายน 2017, 16:07:23 »

เนื่องจาก Ckeditor เป็นตัวที่ใช้ง่าย ติดตั้งง่าย และสามารถตกแต่งข้อความได้เหมือน word และสะดวก
ปกติผมจะใช้แค่แอดมินเท่านั้นแต่มีอยู่ว่าผมอยากนำมาให้สมาชิกใช้ได้ เลยอยากท่านที่เคยใช้และเคยพบปัญหา
Ckeditor จะมั่นใจในช่องโหว่ได้แค่ไหนครับว่าจะไม่โดน XSS หรือการแทรกสคริปเพราะขนาด HTML ยังผ่านไปได้
ถ้าผ่านไม่ได้มันก็แค่ textarea ดีๆ นี่เอง

อยากขอคำแนะนำครับ ช่องโหว่ส่วนนี้ผมไม่อยากให้มันเกิดจริงๆหรือท่านใดมีค่ายอื่นแนะำที่ปลอดภัยกว่า ขอบคุณครับ

 Tongue Tongue Tongue
บันทึกการเข้า

Lancer!! อาหารเสริมสมุนไพรสำหรับผู้ชาย
Lancer รับสมัครตัวแทน
http://www.lancerherb.net
บริการรับทำ
- เว็บไซต์/ปลักอินด้วย PHP,Codeigniter,Laravel,Wordpress,Discuz,SMF อื่น ๆ ตามลูกค้าเสนอ
- แอพบนมือถือ Android
- โปรแกรมบนคอมพิวเตอร์
- ระบบอัติโนมัติทุกประเภท เช่นโปรแกรมคลิกออโต้ ฟังเสียง ตรวจจับทั้งภาพและเสียง อื่น ๆ
- รับสร้างอุปกรณ์ควมคุม เช่นเครื่องมือควบคุมเปิดปิดคอม
Email : tamweb.ns@gmail.com
โทร : 095ห้าหนึ่งเก้า9232
vii
Verified Seller
สมุนแก๊งเสียว
*

พลังน้ำใจ: 127
ออฟไลน์ ออฟไลน์

กระทู้: 862



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 14 พฤศจิกายน 2017, 08:25:12 »

1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.
บันทึกการเข้า

nscyber
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 45
ออฟไลน์ ออฟไลน์

กระทู้: 1,026



ดูรายละเอียด
« ตอบ #2 เมื่อ: 14 พฤศจิกายน 2017, 21:08:50 »

1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.

+1 ขอบคุณครับ
ขอบคุณสำหรับไอเดียมาก ๆ ครับ ส่วน
ข้อ 3 พอดีผมใช้ CI มันจะปัดพวก html ไปหมดครับ ซึ่งถ้าปิดการทำงาน พวกสคริปก็จะแทรกได้
บันทึกการเข้า

Lancer!! อาหารเสริมสมุนไพรสำหรับผู้ชาย
Lancer รับสมัครตัวแทน
http://www.lancerherb.net
บริการรับทำ
- เว็บไซต์/ปลักอินด้วย PHP,Codeigniter,Laravel,Wordpress,Discuz,SMF อื่น ๆ ตามลูกค้าเสนอ
- แอพบนมือถือ Android
- โปรแกรมบนคอมพิวเตอร์
- ระบบอัติโนมัติทุกประเภท เช่นโปรแกรมคลิกออโต้ ฟังเสียง ตรวจจับทั้งภาพและเสียง อื่น ๆ
- รับสร้างอุปกรณ์ควมคุม เช่นเครื่องมือควบคุมเปิดปิดคอม
Email : tamweb.ns@gmail.com
โทร : 095ห้าหนึ่งเก้า9232
หน้า: [1]   ขึ้นบน
พิมพ์