ขอวิธีป้องกัน Xpath Injection หน่อยคับ

id09318 · 15 ตุลาคม 2015, 19:36:55

พึ่งทำสคริปเติมเงิน Tmpay ลองสแกนดูเหมือนจะมีช่องโหว่

พอจะมีวิธีอุดไหมครับ

9wong · 15 ตุลาคม 2015, 20:21:07

วิธีแก้ตามนี้ครับ ลองอ่าน doc ดูครับ
https://www.owasp.org/index.php/XPATH_Injection

id09318 · 15 ตุลาคม 2015, 20:39:11

อ้างถึงจาก: 9wong ใน 15 ตุลาคม 2015, 20:21:07
วิธีแก้ตามนี้ครับ ลองอ่าน doc ดูครับ
https://www.owasp.org/index.php/XPATH_Injection

ที่ให้มามันเป็นของ VB C#

9wong · 15 ตุลาคม 2015, 22:38:57

ในนั้นก็มีบอกนะครับ ว่าแนวทางการป้องกัน ทำยังไง ถึงแม้ตัวอย่างจะเป็น vb หรือ c ครับ หลักการก็คล้ายๆกันครับ

ในนั้นเขียนตรงส่วนการป้องกันว่า Just like the techniques to avoid SQL injection ลองดูครับ

หลักการก็น่าจะทำการกรองค่าที่กรอกเข้ามา นะครับ

อันนี้ php ไม่มั่นใจว่าจะตรงตามที่ต้องการไหมครับ

https://hakre.wordpress.com/2013/07/11/mitigating-xpath-injection-attacks-in-php/

อ้างถึงจาก: id09318 ใน 15 ตุลาคม 2015, 20:39:11
อ้างถึงจาก: 9wong ใน 15 ตุลาคม 2015, 20:21:07
วิธีแก้ตามนี้ครับ ลองอ่าน doc ดูครับ
https://www.owasp.org/index.php/XPATH_Injection

ที่ให้มามันเป็นของ VB C#