1
我們之前將htmlpurifier集成到了我們基於LAMP的產品中,但速度有點慢。最近,我們已經打開了mod_security。這兩個都是OWASP項目的一部分(owasp使用htmlpurifer內部最後一次檢查),所以我認爲安全性是多餘的。有mod_security和htmlpurifier是一個矯枉過正的?
你會建議什麼?是關閉htmpurifier一個可行的選擇?感謝任何答案。
A
回答
5
他們都做不同的事情。 mod_security是黑名單。它涵蓋了一些通用漏洞(其中包括XSS,SQL注入,目錄遍歷,URL注入等)和過去的應用程序漏洞,但可能更易於用更加詳盡的編碼和特定於應用程序的方法繞過篩選器。 (它通常只是針對一些URL參數進行探測)。
HTMLPurifier確實只是對HTML消毒進行了處理,但它表現相當出色。這是一個白名單過濾器,所以根據定義更安全。當然很慢。這就是爲什麼你只應用它到傳入的數據,而不是作爲一切和所有地方的通用過濾器。如果它減慢你的應用程序,你可能會在錯誤的地方使用它。
相關問題
- 1. 渠道API矯枉過正?
- 2. 的WebAPI和控制器矯枉過正
- 3. 將BufferedWriter和BufferedOutputStream一起使用是否過分矯枉過正?
- 4. 新聞網站的Java矯枉過正?
- 5. 是MVC控制器矯枉過正的一頁
- 6. 春季安全 - 是角色和ACL安全矯枉過正?
- 7. 與Valgrind一起運行單元測試是否矯枉過正?
- 8. 正在wordpress上運行WordFence和Akismet安裝矯枉過正?
- 9. 正在使用BPNN進行水質管理和矯枉過正?
- 10. ZooKeeper和RabbitMQ/Qpid在一起 - 矯枉過正還是很好的結合?
- 11. 是傳統ASP矯枉過正的連接類嗎?
- 12. 是Chipmunk矯枉過正的簡單碰撞檢測?
- 13. NSNumber是否針對實例級計數器矯枉過正?
- 14. Web服務版本控制:是ESB矯枉過正?
- 15. 矯枉過正將last_modified列添加到所有表?
- 16. 正在檢查DOM矯枉過正的準備情況?
- 17. PHP窗體的狀態設計模式是否過分矯枉過正?
- 18. 畫布矯枉過正的業務應用程序?
- 19. AudioServices(容易),AVAudioPlayer(中),OpenAL的(硬矯枉過正?)
- 20. PHP框架的簡單任務,矯枉過正?
- 21. 在這段代碼中AtomicBoolean矯枉過正?
- 22. 它什麼時候變得矯枉過正?
- 23. 把Subversion整合到一個簡單文件存檔的應用程序中是否過分矯枉過正?
- 24. 通過MSMQ解耦Web和數據庫層是必要的還是矯枉過正?
- 25. 在這種情況下是否使用Netbeans平臺或Eclipse RCP矯枉過正?
- 26. 我試圖避免笨路線的正則表達式矯枉過正
- 27. 如果所有消息都在本地發送,使用服務總線是否過分矯枉過正?
- 28. Twitter關閉基本身份驗證 - 某些任務的OAuth矯枉過正?
- 29. 使用枚舉來存儲**行和列的數據庫名稱是矯枉過正的?
- 30. 使用Ruby on Rails構建用戶ID /密碼功能?矯枉過正?
感謝您的回答。所以你說的是,由於mod_security是基於正則表達式的,因此比基於令牌的htmlpurifier更容易破解?那麼,如果我們選擇刪除mod_security並保留htmlpurifier,會否影響?再次感謝。 – pinaki 2011-05-13 07:25:31
我不會禁用它。它使我個人在誤報方面遇到了很多麻煩,但它對防止垃圾郵件和xss嘗試的防火牆速度要快得多。我不會僅僅依靠它,但它會減少應用程序內檢查並因此減少日誌條目。它確實會導致一些服務器放緩,但我認爲這不夠重要。所以保持啓用,除非你有一個擁有太多併發用戶的大網站。 – mario 2011-05-13 07:29:30