anonīms Posted April 28, 2010 Report Share Posted April 28, 2010 Cik droši ir dot atļauju lietotājiem rakstīt kaut ko textarea un aizsargāties tikai ar mysql_real_escape_string? (Nelietojot htmlspecialchars) Ideja ir dot lietotājiem rakstīt rakstus. Quote Link to comment Share on other sites More sharing options...
codez Posted April 28, 2010 Report Share Posted April 28, 2010 Viņš varēs izveidot XSS, iepostojot, <script>palaist_ljaunumu();</script> Quote Link to comment Share on other sites More sharing options...
anonīms Posted April 28, 2010 Author Report Share Posted April 28, 2010 Un ko tas ļaunums tādu var izdarīt? un xss pārsvarā nāk no <script>? (tad varbūt var šo tagu vnk nahrenizēt) Quote Link to comment Share on other sites More sharing options...
Aleksejs Posted April 28, 2010 Report Share Posted April 28, 2010 Daži ļaunuma piemēri: http://www.cgisecurity.com/xss-faq.html http://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 Quote Link to comment Share on other sites More sharing options...
chizijs Posted April 28, 2010 Report Share Posted April 28, 2010 <b> <u> <i>.. arī var Quote Link to comment Share on other sites More sharing options...
codez Posted April 28, 2010 Report Share Posted April 28, 2010 Skripts tiek palaists uz citu lietotāju web pārlūka tava domeina lapā. Ko var sliktu izdarīt? Visu, kas stāv aiz konkrētā lietotāja autorizācijas. Respektīvi visas darbības, kuras skripts veiks būs tādas, it kā lietotājs, kurš atvēris lapu ar xss, tās veiktu, piemēram, viņš var automātiski iepostot 5 jaunus rakstus, kuros ir tas pats xss, visi lietotāji, kuri atver šos rakstus, atkal automātiski no sevis iepsoto 5 rakstus, utt. scriptu var apalist ļoti daudzos veidos: <a href="javascript:evil_code();">lol</a> <div onclikc="evil_code();">lol</div> <style> .lol{ width:expression(evil_code()); } </style> Quote Link to comment Share on other sites More sharing options...
anonīms Posted April 28, 2010 Author Report Share Posted April 28, 2010 Nu tad kādas būtu basic lietas, lai ļautu lietotājam rīkoties ar rakstu sistēmu? Tas pats sportacentrs.com šādu iespēju atļauj. P.S. Video un tutus vēl skatīšos, jo nets lēns. Sīkie netā salīduši (doh) Quote Link to comment Share on other sites More sharing options...
briedis Posted April 28, 2010 Report Share Posted April 28, 2010 Ir kaut kādi html purify'eri, kas attīra html no bīstamām lietām. Piemēram: http://htmlpurifier.org/ script tags nav vienīgais veids, kā izpildīt javascript... kaut vai ar bildi to var izdarīt: <img src="neesiskteejosha_bilde" onerror="alert('lool');" /> un vēl daudziem dažādiem atribūtiem... Labāk nemēģini to darīt uz savu roku, bet atrodi kādu gatavu php bibliotēku, kas par to rūpējas. Protams, ja uzticies tiem cilvēkiem, tad var arī neko tādu nelikt. Quote Link to comment Share on other sites More sharing options...
anonīms Posted April 28, 2010 Author Report Share Posted April 28, 2010 ok, thx briedi par linku. Izstudēšu. Cilvēkiem neuzticies, vismaz tik ilgi kamēr viņi atrodas Manis kodētā lapā :D Quote Link to comment Share on other sites More sharing options...
codez Posted April 28, 2010 Report Share Posted April 28, 2010 (edited) Nesen testēju html purifier - strādā diezgan labi. Pat izfiltrē tādas lietas, kas nav saistītas ar skriptiem, bet ar lapas vizuālo attēlojumu <div style="position:absolute; top:0px; left:0px; width:2000px; height:2000px; z-index:99999"></div> vienīgais, ko atradu, ka neizfiltrē ir <div style="margin-left:-100px">, raksta elementi iziet ārpus raksta pieļaujamajam. To var novērst liekot raksta konteinerim overflow:hidden; Edited April 28, 2010 by codez Quote Link to comment Share on other sites More sharing options...
anonīms Posted April 28, 2010 Author Report Share Posted April 28, 2010 Tikko patestēju to brieža linku. Awesome! :D Mēģināšu vēlāk cept virsū uz lapas. Katram gadījumam jau admins tāpat varēs palabot kodu pirms apstiprinās to rādīšanai. Quote Link to comment Share on other sites More sharing options...
Kaklz Posted April 28, 2010 Report Share Posted April 28, 2010 Protams, ja uzticies tiem cilvēkiem, tad var arī neko tādu nelikt. Cilvēkiem NEDRĪKST uzticēties. Punkts. Quote Link to comment Share on other sites More sharing options...
php newbie Posted April 28, 2010 Report Share Posted April 28, 2010 hmm vai tas joks izfiltrēs visus šos variantus? man labāk patīk ideja aizliegt visu un atstāt tikai dažas drošas lietas. un vispār vai šajā gadījumā nav labāk lietot bbcode? Quote Link to comment Share on other sites More sharing options...
codez Posted April 28, 2010 Report Share Posted April 28, 2010 HTMLPurifier tieši darbojās uz whitelist principa. Respektīvi uz gara saraksta ar visiem atļautiem atribūtiem, stiliem, parametriem. Un liela priekšrocība ir tā, ka var kautvai izmantot WYSIWYG editoru. Jā un visus ha.ckers.org piedāvātos variantus iztīra: http://htmlpurifier.org/live/smoketests/xssAttacks.php Quote Link to comment Share on other sites More sharing options...
briedis Posted April 28, 2010 Report Share Posted April 28, 2010 hmm vai tas joks izfiltrēs visus šos variantus? man labāk patīk ideja aizliegt visu un atstāt tikai dažas drošas lietas. un vispār vai šajā gadījumā nav labāk lietot bbcode? Izfiltrēs... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.