[討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?

SQL注入和XSS是OWASP TOP 10中的兩個常見的駭客攻擊手法 也算嚴重等級高的漏洞 在ptt講到這兩種漏洞 可能很多人都會覺得開發者不應該犯這種低級錯誤 但是最近去看HITCON ZeroDay漏洞通報平台(https://zeroday.hitcon.org/vulnerability/disclosed) 台灣的網站光這兩種漏洞應該就接近50% 而且一堆網站還是知名的公司、政府機關和學校 就我所知要防禦這兩種攻擊 可以過濾特殊字元、加入X-XSS-Protection這個security header針對XSS攻擊、安裝WAF(網站應用層防火牆) 不過也有在一些滲透測試教學的網站看到 駭客似乎還是可以透過各種手段繞過層層防護機制 (e.g. WAF的SQL注入繞過手段和防禦技術 https://kknews.cc/zh-tw/code/arvg6.html XSS 繞過技術 https://www.itread01.com/content/1545486962.html) 所以SQL注入和XSS漏洞會這麼氾濫 是開發者資安意識太薄弱 可能連SQL注入和XSS是什麼都不知道？ 或是就算知道也不當一回事，反正網站能正常運作就好？ 還是駭客太會鑽漏洞了？ --
※ 批踢踢實業坊(ptt.cc), 來自: 106.104.80.164 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1580752787.A.2DF.html

→ alan3100: prepared/parameterizedstatement都不提談什麼防sql注入 02/04 02:11

推 splitline: X-XSS-Protection只能防反射型的 而且chrome已經廢除了 02/04 02:41

→ splitline: 至於firefox根本沒這個功能 02/04 02:41

→ splitline: bypass the auditor is nothing but a CTF challenge(O 02/04 02:46

→ splitline: 至於 sql 注入的確通常是因為開發者太廢導致的 02/04 02:50

→ guanting886: 大部分開發者都正向流程開發 加上網站程式設計入門檻 02/04 07:55

→ guanting886: 低 各式領域人都有參與 知識跟經驗水平都不一樣 02/04 07:55

推 guanting886: 除非你有在特別資訊安全關注這塊 或站被打掉過 且真 02/04 07:56

→ guanting886: 的去檢視攻擊手法為何 不然就真的是這個樣子 02/04 07:56

推 guanting886: 好加在有程式框架的出現，這種會先天上的設計約束一 02/04 07:58

→ guanting886: 些設計讓攻擊手法的花樣受限制 02/04 07:58

推 guanting886: 例如：因為框架普遍會在 set cookie 的 header 補上 02/04 08:00

→ guanting886: httpOnly 導致你沒有辦法透過 javascript去劫持使 02/04 08:00

→ guanting886: 用同一個網站的使用者的cookie裡的資料 02/04 08:00

→ guanting886: 以前的人怎麼可能會知道這個事情 只要搭配 XSS 在同 02/04 08:01

→ guanting886: 站或丟個訊息去賭 搞不好就拿到管理者的權限 02/04 08:01

推 guanting886: 不過就算有框架，在資訊安全的開發關注度多寡還是多 02/04 08:03

→ guanting886: 少會影響，例如：你用樣板引擎產生資料，結果輸入資 02/04 08:03

→ guanting886: 料、引擎產生的方式不當，導致遞入的資料可以執行程 02/04 08:03

→ guanting886: 式碼 02/04 08:03

→ guanting886: 或是 你這個套件要兜 ffmpeg、image magick 之類的 c 02/04 08:04

→ guanting886: li 工具 可能你用套件 或自己寫 02/04 08:04

→ guanting886: 導致你輸入的地方可以做 Command Injection 02/04 08:05

推 guanting886: 只能說要學的很多啊～ 今天沒發生在你身上 但是會發 02/04 08:06

→ guanting886: 生在你同事上XD 02/04 08:06

推 guanting886: (順便補充，這裡講的樣版引擎不是你在框架view上面 02/04 08:14

→ guanting886: 的key的那裡，而是你用引擎自身去兜資料起來的時候， 02/04 08:14

→ guanting886: 例如Ruby 語言上的 ERB 這個 class 處理沒留意就會發 02/04 08:14

→ guanting886: 生讓攻擊者可以執行程式碼的狀況 02/04 08:14

→ guanting886: 這發生在某些大站系統上 02/04 08:14

→ domototice: 是SQL injection... 02/04 08:38

推 srwhite: Sql injection 很多框架都幫忙處理了 02/04 10:07

→ srwhite: 倒是xss是不是在每個可能發生的地方都要特別處理 沒看到 02/04 10:08

→ srwhite: 什麼簡單使用的框架 02/04 10:08

推 vi000246: 有時候框架用好好的 結果多個奇怪需求 要繞路硬幹 02/04 11:32

→ vi000246: 開發者不用心 上面的人不在意 就會出現漏洞了 02/04 11:33

→ vi000246: 或是有些接案公司 用低價接案 開發的都新手 02/04 11:34

→ vi000246: 驗收的人也不懂 造成漏洞一堆 02/04 11:34

→ jinmin88: 簡單來說 這漏洞永遠都會存在 品質一分錢一分貨 02/04 12:19

→ alan3100: sqlinjection並不需要fw就能避免,要不是誤用fw不然就是 02/04 12:19

→ alan3100: 菜鳥不知道怎麼寫 02/04 12:20

→ hsnuyi: 語言設計的問題 想要讓所有人都能上手 但語法設計的太差 S 02/04 15:40

→ hsnuyi: QL根本就應該打掉重練 02/04 15:40

→ ssccg: 跟語法設計沒關係，injection問題的本質是data跟command混 02/04 15:56

→ ssccg: 淆，只要有跨語言執行指令都有可能發生 02/04 15:59

→ ssccg: SQL injection比其他好處理只是因為通常不需要太彈性的SQL 02/04 16:01

推 vencil: XSS本來就難防了 就連知名的框架也是不少見被挖出來 02/05 13:10

推 domototice: SQL Injection 可以在前端用vbscript後端用資料庫定義 02/06 03:37

→ domototice: 查詢欄位的資料類別以及欄位資料size來協助有很多方式 02/06 03:38

→ domototice: 謝謝您的分享!! 02/06 03:38

→ superpandal: 問前端阿 為什麼內文可以插入script 漏洞根本是個陰 02/08 17:29

→ superpandal: 謀 02/08 17:29

推 domototice: 他好像是利用SQL語法漏洞 google sql injection 02/08 17:42

→ domototice: 比如https://zh.wikipedia.org/wiki/SQL注入 02/08 17:43

→ superpandal: sql注入還不是那麼嚴重 不喜歡市面上的就是了 XD 02/08 19:18

推 Nitricacid: 拿香蕉請的很正常 02/10 00:43

推 eeyellow: 政府標案要求廠商資安但不編列經費，壓價格但事情變多 02/18 09:33

推 eeyellow: 廠商也不願意花錢在人才上，導致惡性循環 02/18 09:36