ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ThaiSEOBoard.comพัฒนาเว็บไซต์Programmingขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่
« หน้าที่แล้ว ต่อไป »
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ขอสอบถามท่านที่ใช้ CKeditor ครับเกี่ยวกับช่องโหว่  (อ่าน 1054 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
nscyber
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 50
ออฟไลน์ ออฟไลน์

กระทู้: 1,165



ดูรายละเอียด
« เมื่อ: 12 พฤศจิกายน 2017, 16:07:23 »
เนื่องจาก Ckeditor เป็นตัวที่ใช้ง่าย ติดตั้งง่าย และสามารถตกแต่งข้อความได้เหมือน word และสะดวก
ปกติผมจะใช้แค่แอดมินเท่านั้นแต่มีอยู่ว่าผมอยากนำมาให้สมาชิกใช้ได้ เลยอยากท่านที่เคยใช้และเคยพบปัญหา
Ckeditor จะมั่นใจในช่องโหว่ได้แค่ไหนครับว่าจะไม่โดน XSS หรือการแทรกสคริปเพราะขนาด HTML ยังผ่านไปได้
ถ้าผ่านไม่ได้มันก็แค่ textarea ดีๆ นี่เอง

อยากขอคำแนะนำครับ ช่องโหว่ส่วนนี้ผมไม่อยากให้มันเกิดจริงๆหรือท่านใดมีค่ายอื่นแนะำที่ปลอดภัยกว่า ขอบคุณครับ

 Tongue Tongue Tongue
บันทึกการเข้า
vii
Verified Seller
สมุนแก๊งเสียว
*

พลังน้ำใจ: 132
ออฟไลน์ ออฟไลน์

กระทู้: 946



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 14 พฤศจิกายน 2017, 08:25:12 »
1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.
บันทึกการเข้า
PHP, HTML, JS, CSS
nscyber
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 50
ออฟไลน์ ออฟไลน์

กระทู้: 1,165



ดูรายละเอียด
« ตอบ #2 เมื่อ: 14 พฤศจิกายน 2017, 21:08:50 »
อ้างจาก: vii ที่ 14 พฤศจิกายน 2017, 08:25:12
1. เปิดความสามารถใช้งานได้ให้น้อยๆครับ เช่นพวกตัวหนา, ตัวเอียง, ขีดเส้นใต้ อะไรพวกนี้ที่คิดแล้วว่าเมื่อใส่ลงไป เมื่อเปลี่ยนดีไซน์ของเว็บ มันจะยังคงดูได้สวยอยู่. คือถ้าให้ปรับแต่งมากเช่นใส่สีได้ เวลาเปลี่ยนดีไซน์อาจมองไม่เห็นเลยก็ได้ แบบนี้นะครับ.
2. เปิดตรวจสอบที่ตัว ckeditor ผมไม่แน่ใจว่ามีไหมแต่ตรวจไม่ให้กรอกแท็กนอกจากที่เราอนุญาต หรือไม่ก็ปิดไม่ให้ edit source ไปเลย.
3. ตรวจสอบที่ฝั่ง server เมื่อรับ input. ตรงนี้ถ้าใช้ php มันจะมีคลาสตรวจ xss ให้ใช้หลายเจ้าอยู่ ที่ผมเคยลอง htmlpurifier เมื่อนานมาแล้วก็ใช้ได้. ถ้าไม่มีคลาสไหนได้ดั่งใจก็เขียนเองก็ได้ครับ คือตรวจหาว่ามี html ไหม ถ้ามีก็ใช้ php domdocument มาไล่ตรวจเอาเลย.

+1 ขอบคุณครับ
ขอบคุณสำหรับไอเดียมาก ๆ ครับ ส่วน
ข้อ 3 พอดีผมใช้ CI มันจะปัดพวก html ไปหมดครับ ซึ่งถ้าปิดการทำงาน พวกสคริปก็จะแทรกได้
บันทึกการเข้า
ossytong
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 138
ออฟไลน์ ออฟไลน์

กระทู้: 1,151



ดูรายละเอียด
« ตอบ #3 เมื่อ: 25 พฤศจิกายน 2017, 23:37:37 »
ไม่ได้เป็นปัญหาที่ Ckeditor เลย

Concept เวลาจะแสดงผลใน View ให้ใช้ htmspecialcharsencode ซะก็ไม่โดน XSS แล้ว
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์
« หน้าที่แล้ว ต่อไป »
กระโดดไป: