Joomla悪質なファイルのアップロードとクロスサイトスクリプティング

Question

私のサイトはセキュリティ監査を受けています。監査の後、彼らは私に2つのセキュリティ上の問題を見てくれました。

1. ストアド・クロス・サイト・スクリプティング：アプリケーションは、ユーザーが入力したすべての入力に対してサーバー側の検証を実装する必要があります。期待値のみを受け入れる必要があります。スクリプトタグは拒否されるべきです。すべてのユーザー入力は、消毒されるべきです。

2. 悪意のあるファイルのアップロードは

私はJoomlaのグローバルコンフィギュレーションテキストフィルタでフィルタのタグに追加されました。また、すべてのファイルアップロード要素で拡張子.jpg、.jpeg、.pngのみを使用するよう明確に述べていますが、.php拡張ファイルもアップロードできます。

この2つの問題を解決するにはどうすればよいですか？

よろしく

Answer 1

それはJoomlaのサイトに到達する前に、POSTデータをきれいにするdefines.phpファイルを使用し、それに$ _FILESですべての要求をブロックします。

ウェブサイトでユーザーがファイルをアップロードできるようにする必要がある場合は、これらのファイルが特定のファイルタイプのみで構成されていることを確認し、外部のユーザーがこれらのファイルにアクセスする必要がない場合は、 htaccessルールを使用して、アップロードしたフォルダ内のこれらのファイルを削除します。