mans megaprodžekts, toolis ar kuru nošārēt ātri info

[spameris]

Tā kā radās  nepieciešamība nedaudz tuvāk iepazīties ar web lietām sāku kautko lasīt un pētīt, bet vieglāk jau iemācīties darot. Toolis ar kurā ātri iemest kādu info. Labākā fīča ka lādē bildes uz augšo no clipboarda(Ctr+V) , tas gan FF un chrome tik strādā.

 

http://flashblish.com/

 

tūlīt sekos arī jautājums, bet citā sadaļā :)

[codez]

Raksti netiek aizsargāti pret XSS: http://flashblish.com/Xo.html

[F3llony]

http://flashblish.com/Vo.html

I guess I can haz.

[spameris]

mhm, ja pareizi saprotu, tad bīstamību tas vairāk rada lapas apmeklātājam. pareizi ?

 

tad vajadzēs padomāt kā javaskriptus izdabūt ārā no html.

[F3llony]

Palasi, kas ir XSS. :)

[codez]

Ja es varu palaist lietotāja vārdā javascriptu, tad tas nozīmē, ka es varu prakstiski darīt jebko, ko var darīt  lietotājs. Tas nozīmē, ka es varu likt skriptam likt rakstus, kurš satur to pašu skritu, tādā veidā portāls pārpildās ar rakstiem, kuri satur ļauno kodu.

Viens no risinājumiem ir tīrīt html-u ar htmlpurifier

[spameris]

ok, paldies. skatīšos.

[spameris]

tagad viss html iet caur htmlpurifier, kad nāks mazāk miegs būs jāpārbauda, vai kautko pa daudz, vai par maz nefiltrē ārā.

[daGrevis]

Otrs, vieglāks risinājums, ir neļaut HTML. Tā vietā atļaut sabsetu ar markup valodu kā BBcode, Markdown utml..

[F3llony]

Markdown supportē inline html :> 

[daGrevis]

Pēc dokumentācijas, jā. http://daringfireball.net/projects/markdown/syntax#html

 

Bet, Markdown parseri arī piedādāvā ignorēt HTML. https://github.com/daGrevis/daGrevis.lv/blob/master/dagrevis_lv/blog/models.py#L34

[codez]

Html tīrīšana pēc whitelista ir diezgan droša.

Edited April 5, 2013 by codez

[F3llony]

Jā, ja vien whitelist iekļauj arī atribūtus. 

 

 

 

<a href="javascirpt:alert(1)">Google</a>

[codez]

whitelistā parasti iekļauj ne tikai atribūtus, bet arī to vērtību atbilstību noteiktiem paterniem. Bet nu jā, arī neuzmanīgi veidots whitelists var radīt caurumus.

Pie tam ne vienmēr pietiek ar whitelistu, bieži problēmas var radīt arī kombinācijas.

Pirms kāda laika vienā lielā lapā atradu XSS. Tika izmantots tooltip plugins, kurš tooltipus taisīa no noteiktas klases elementiem, bet, lai tooltipu saturs būtu smuks, tajos varēja rakstīt šādi:

 

<div class="tooltip">[[b]]Hello[[/b]] World</div>

 

Bet html iztīrītājā bija atļautas klases. Rezultātā varēja ievietot kodu, kuram uzbraucot ar peli, tika atvērts tooltips un palaists skripts:

 

<div class="tooltip">[[script]] alert(1); [[/script]]</div>

Kā var redzēt, katra no komponenetēm atsevišķi apdraudējumu neradīja, taču kopā tas radās.

Edited April 5, 2013 by codez

[daGrevis]

Tāpēc whitelistam nevajadzētu atļaut CSS klases...