Klez Posted April 28, 2010 Report Share Posted April 28, 2010 nu pie izvades var izlaist caur htmlspecialchars ... tad < > tiek pārvērsti par entītēm ... > < ... laikam taa bija Quote Link to comment Share on other sites More sharing options...
Kaklz Posted April 28, 2010 Report Share Posted April 28, 2010 Ja tu pie izvades taisi htmlspecialchars, tad nav jēgas darbināt htmlpurifier un bremzēt visu pasākumu. htmlpurifier tieši nodrošinās, lai nepaliktu nekas slikts, kas varētu kaut ko salauzt. Quote Link to comment Share on other sites More sharing options...
Klez Posted April 28, 2010 Report Share Posted April 28, 2010 īstenībā jau nekā sarežģīta tur nav ... principā jāaizstāj < un > ar entītēm un viss ir OK vai nu to dara ar regex vai str_replace. str_replace varētu būt ātrāks ja jāskaita mikrosekundes Quote Link to comment Share on other sites More sharing options...
codez Posted April 28, 2010 Report Share Posted April 28, 2010 Klez, runa ir par to, ka atļauj <b>,<i>,<img> utt tagus, kas ļauj radīt smuki formatētu saturu, bet tie tiek filtrēti tādā veidā, ka nav iespējams ievietot XSS vai neatļautu CSS formatējumu. Quote Link to comment Share on other sites More sharing options...
Aleksejs Posted April 28, 2010 Report Share Posted April 28, 2010 Viens no pēdējiem skaļākajiem uzbrukumiem, kurā (cita starpā) tika izmantots XSS, lai beigu beigās iegūtu root tiesības. https://blogs.apache.org/infra/entry/apache_org_04_09_2010 Quote Link to comment Share on other sites More sharing options...
Klez Posted April 29, 2010 Report Share Posted April 29, 2010 priekš tam ir bb kodi :) Quote Link to comment Share on other sites More sharing options...
codez Posted April 29, 2010 Report Share Posted April 29, 2010 Klez, bet tad nevar WYSIWYG. Kā tu kaut pusi no šī izveidosi ar bb kodiem? Pietam lietotājam, kurš nav sastapies ar bb kodiem darboties vispār nebūs intuitīvi. Quote Link to comment Share on other sites More sharing options...
Klez Posted April 29, 2010 Report Share Posted April 29, 2010 (edited) nav vienkārši sitā: $data = '<h1> <script language="javascript">alert("nēe");</ script> < script language="javascript">alert("nēe");</ script> < script language="javascript">alert("nwwe");< / script> < script language="javascript">alert("nēe");</script> <scr<script>Kiddies</script>ipt> are clever buggers</script> <img alt="" src="http://a.cksource.com/c/1/inc/img/demo-little-red.jpg" style="margin-left: 10px; margin-right: 10px; float: left; width: 120px; height: 168px;" /><script>alert("evil code");</script>Little Red Riding Hood</h1>'; $preg = '/<script/i'; $repl = '<script'; echo preg_replace($preg, $repl, $data); Cik paskatījos ja starp < un script ir atstarpe tad ff vismaz to rindu izvada kaa tekstu un chrome arī Edited April 29, 2010 by Klez Quote Link to comment Share on other sites More sharing options...
briedis Posted April 29, 2010 Report Share Posted April 29, 2010 nav vienkārši sitā: .. Cik paskatījos ja starp < un script ir atstarpe tad ff vismaz to rindu izvada kaa tekstu un chrome arī Ja vien script tags būtu vienīgais draugs... Quote Link to comment Share on other sites More sharing options...
bubu Posted April 29, 2010 Report Share Posted April 29, 2010 Klez: paskaties postus #6 un #8 un #10 šajā pašā topikā. Quote Link to comment Share on other sites More sharing options...
Klez Posted April 29, 2010 Report Share Posted April 29, 2010 jap. paskatījos, izlasīju un sapratu :) Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.