spameris Posted April 4, 2013 Report Posted April 4, 2013 Tā kā radās nepieciešamība nedaudz tuvāk iepazīties ar web lietām sāku kautko lasīt un pētīt, bet vieglāk jau iemācīties darot. Toolis ar kurā ātri iemest kādu info. Labākā fīča ka lādē bildes uz augšo no clipboarda(Ctr+V) , tas gan FF un chrome tik strādā. http://flashblish.com/ tūlīt sekos arī jautājums, bet citā sadaļā :) Quote
codez Posted April 4, 2013 Report Posted April 4, 2013 Raksti netiek aizsargāti pret XSS: http://flashblish.com/Xo.html Quote
F3llony Posted April 4, 2013 Report Posted April 4, 2013 http://flashblish.com/Vo.html I guess I can haz. Quote
spameris Posted April 4, 2013 Author Report Posted April 4, 2013 mhm, ja pareizi saprotu, tad bīstamību tas vairāk rada lapas apmeklātājam. pareizi ? tad vajadzēs padomāt kā javaskriptus izdabūt ārā no html. Quote
codez Posted April 4, 2013 Report Posted April 4, 2013 Ja es varu palaist lietotāja vārdā javascriptu, tad tas nozīmē, ka es varu prakstiski darīt jebko, ko var darīt lietotājs. Tas nozīmē, ka es varu likt skriptam likt rakstus, kurš satur to pašu skritu, tādā veidā portāls pārpildās ar rakstiem, kuri satur ļauno kodu. Viens no risinājumiem ir tīrīt html-u ar htmlpurifier Quote
spameris Posted April 4, 2013 Author Report Posted April 4, 2013 tagad viss html iet caur htmlpurifier, kad nāks mazāk miegs būs jāpārbauda, vai kautko pa daudz, vai par maz nefiltrē ārā. Quote
daGrevis Posted April 5, 2013 Report Posted April 5, 2013 Otrs, vieglāks risinājums, ir neļaut HTML. Tā vietā atļaut sabsetu ar markup valodu kā BBcode, Markdown utml.. Quote
daGrevis Posted April 5, 2013 Report Posted April 5, 2013 Pēc dokumentācijas, jā. http://daringfireball.net/projects/markdown/syntax#html Bet, Markdown parseri arī piedādāvā ignorēt HTML. https://github.com/daGrevis/daGrevis.lv/blob/master/dagrevis_lv/blog/models.py#L34 Quote
codez Posted April 5, 2013 Report Posted April 5, 2013 (edited) Html tīrīšana pēc whitelista ir diezgan droša. Edited April 5, 2013 by codez Quote
F3llony Posted April 5, 2013 Report Posted April 5, 2013 Jā, ja vien whitelist iekļauj arī atribūtus. <a href="javascirpt:alert(1)">Google</a> Quote
codez Posted April 5, 2013 Report Posted April 5, 2013 (edited) whitelistā parasti iekļauj ne tikai atribūtus, bet arī to vērtību atbilstību noteiktiem paterniem. Bet nu jā, arī neuzmanīgi veidots whitelists var radīt caurumus. Pie tam ne vienmēr pietiek ar whitelistu, bieži problēmas var radīt arī kombinācijas. Pirms kāda laika vienā lielā lapā atradu XSS. Tika izmantots tooltip plugins, kurš tooltipus taisīa no noteiktas klases elementiem, bet, lai tooltipu saturs būtu smuks, tajos varēja rakstīt šādi: <div class="tooltip">[[b]]Hello[[/b]] World</div> Bet html iztīrītājā bija atļautas klases. Rezultātā varēja ievietot kodu, kuram uzbraucot ar peli, tika atvērts tooltips un palaists skripts: <div class="tooltip">[[script]] alert(1); [[/script]]</div> Kā var redzēt, katra no komponenetēm atsevišķi apdraudējumu neradīja, taču kopā tas radās. Edited April 5, 2013 by codez Quote
daGrevis Posted April 5, 2013 Report Posted April 5, 2013 Tāpēc whitelistam nevajadzētu atļaut CSS klases... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.