HTML drošība , jeb can you hack it?!

[Zefirs]

Zināms ka HTML tekstu ir iespējams nokodēt lietojot HTML numura kodējumu.

 

Piemērs :

<div id="test"></div>
<div id="test"></div>

 

test == test

 

Šādi var panākt ka div id ir vienādi , bet...

 

Vai ir iespējams nokodēt arī pašu 'id' attribūtu , tā lai pārlūks spētu saprast ka tas ir id?

[briedis]

Par ko tu uztraucies? Principā galvenais ir, lai lapā nav XSS caurumu, kas ļautu ļaundarim parādīt savu HTML/JS kodu citiem lietotājiem. Ja viņš grib, lai pats savā pārlūkā čakarē tos ID vai jebko, bet galvenais, lai nevar ietekmēt citus lietotājus un servera pusi (sūtot kaut kādus citus uzbrukumus - sql injekcijas, piemēram).

[codez]

Nebūs nekas jākodē, ja tu lietotāja padotus datus attēlosi kā atribūta nosaukumu.

[Zefirs]

Problēma tāda, ka es nevis vēlos pasargāt sevi, bet gan pats gribu nokodēt atribūtus savādākā veidā nekā ierastajā tekstā.

[mad182]

Hipsteri un viņu problēmas :D

[briedis]

Problēma tāda, ka es nevis vēlos pasargāt sevi, bet gan pats gribu nokodēt atribūtus savādākā veidā nekā ierastajā tekstā.

 

Pastāsti ko tu tur gribi nokodēt. :) Man jau neizklausās laba šī ideja :D

[Zefirs]

Vēlos atribūta vārdam nomainīt kodējumu.

Kāpēc? Skype atļauj lietotājam ievadīt noteiktus html tagus, ar noteiktiem atribūtiem. Vēlos noskaidrot vai man kā lietotājam iespējams iebarot savu atribūtu.

Precīzāk js eventus.

[briedis]

Vēlos atribūta vārdam nomainīt kodējumu.

Kāpēc? Skype atļauj lietotājam ievadīt noteiktus html tagus, ar noteiktiem atribūtiem. Vēlos noskaidrot vai man kā lietotājam iespējams iebarot savu atribūtu.

Precīzāk js eventus.

 

Laikam domā, ka tie, kas taisīja skype tādi dunduki vien ir, un, ka neviens no miljoniem lietotāju līdz šim nav aizdomājies mēģināt to pašu :)

[daGrevis]

> Hipsteri un viņu problēmas :D

 

So +1!

[Zefirs]

Briedis : Aizdomāties nav tas pats kas darīt.

 

Nice1 : Ja būtu iespējams darbināt js. savā pusē, tad arī otrā "galā" ziņas saņēmēji teorētiski saņemtu tādu pašu html.

 

daGrevis : LWTF?

[daGrevis]

Tu gribi lai pilnīgi viss tavs HTML pārtop HTML codes?

[briedis]

Briedis : Aizdomāties nav tas pats kas darīt.

 

Cilvēki to jau ir darījuši....

http://news.softpedia.com/newsImage/Skype-Disputes-Severity-of-New-XSS-Vulnerability-3.jpg/

Bet tas jau sen ir novērsts...

 

Gan jau pats čats darbojas pēc white-list principa, un viss, kas nav atļauts tiek vienkārši izmests...

[Zefirs]

Dažādām skype versijām filtri ir konfigurēti savādāk inputam. Piemērs kā iebarot čatā html -> Shitf+ctrl + click on post message. Varat pameklēt googlē kā var iebarot pat attēlus lai rāda skypā.

[briedis]

Dažādām skype versijām filtri ir konfigurēti savādāk inputam. Piemērs kā iebarot čatā html -> Shitf+ctrl + click on post message. Varat pameklēt googlē kā var iebarot pat attēlus lai rāda skypā.

 

Iebarot attēlus? Nez nez, esmu redzējis ka iebaro tikai html font tagus, ar ļoti mazu izmēru un dažādās krāsās, lai simbols izskatās pēc pikseļa. Tur arī sanākt tas "attēls".

[Zefirs]

Attēlu iebarošana arī izpaužas tieši tā. Jautājums vai ir iespējams vēl tagiem pievienot js...