敏感接收器作为php漏洞？

Question

我正在使用RIPS扫描服务器中的文件夹。报告出来了，报告的一些漏洞是"Userinput到达敏感接收器。“报告的行是定义变量的行。您可以查看报告here。有人知道我怎么解决这个问题吗？这难道不应该是正常的，并且不会被报告为漏洞吗？

Answer 1

它们中的大多数看起来像是错误的警报，因为没有实际的用户输入。大多数包含路径是从一个函数构造的，该函数可能从db或config文件中获取数据。

如果get_locale()获取HTTP请求的Accept-Language头并未经消毒地使用它们，那么它可能会有问题。

Answer 2

你可以在这里获得所有敏感水槽的详细信息：

http://awap.sourceforge.net/support.html#sanitization

其中包含PHP语言的所有敏感接收器，以及如何减轻这些漏洞。

你可以在这里阅读一篇关于这方面的研究论文：

http://awap.sourceforge.net/papers/wap_dsn2016.pdf
http://awap.sourceforge.net/papers/WAP_IEEE_TR_Mar2016.pdf

希望这能对你有所帮助。

Answer 3

考虑这样一种情况，其中您具有如下代码：

$name = $city = $email = $message = "";

当用户输入到达敏感接收器时，RIPS会报告此代码。

要解决此问题，您可以应用以下技巧：

$name=test_input("");
$city=test_input("");
$email=test_input("");
$message=test_input("");

function test_input($data) {
    $data = trim($data);
    $data = stripcslashes($data);
    $data = htmlspecialchars($data);
    $data =  htmlentities($data,  ENT_QUOTES,  "utf-8");
    return $data;
}