08月29, 2013

Fl里新增PHP模版的XSS自动修复功能

之前Fl里有Smarty模版的XSS自动修复功能,但一直没有PHP模版的支持。主要是Smarty模版识别变量输出比较简单,判断是否是$打头,并且里面没有赋值之类的操作就可以了。

但PHP模版就非常麻烦了,PHP定界符之间可以写任何的PHP代码,不知道什么时候会进行输出。即使使用echo进行输出,echo后面也可以接很多东西,字符串、变量、表达式、函数调用等等,如:

这种情况下,之前一直没有解决这个问题的思路。如果为了这个功能去实现PHP的词法分析功能,就太麻烦了。

猛然间发现了PHP里提供了词法分析是方法,token_get_all函数(这个函数很早就有了)。

将PHP文本传入该函数后,就可以得到TOKEN列表。具体可以见PHP的官方文档:http://php.net/manual/en/function.token-get-all.php

有了这个方法就好办了,拿到token列表,寻找echo的TOKEN,到;或者?>结束,判断是否已经有了对应的转义方式或者标识为不转义,如果没有则加上对应的转义方式(PHP下都是使用函数来转义的)。

代码实现不是很复杂,具体见github上的项目文件:https://github.com/welefen/Fl/blob/master/src/Util/Tpl/PHP.class.php

ps: php虽然函数名和参数设计上有很多问题,但函数真实非常多。或者功能都有对应的函数

其实浏览器也可以把类似的接口暴漏给JS,这样很多工具都不用在实现一遍词法分析了。

本文链接:http://welefen.com/post/xss-auto-fix-for-php-tpl-on-fl.html

-- EOF --

Comments

评论加载中...

注:如果长时间无法加载,请针对 disq.us | disquscdn.com | disqus.com 启用代理。