Skocz do zawartości

ATAKi XSS - UWAGA - połowa stron jest podatna!


Hirek

Rekomendowane odpowiedzi

Apeluje do wszystkich programistów i właścicieli sklepów , stron o rozsądek. Połowa sklepów internetowych i innych stron jest podatna na ataki xss. Nawet strony Policji.b

Nawet w swoim serwisie wykryłem taką lukę. Nieszczęście w porę znalazłem, a programistę opierdzieliłem za głupotę.

Ludzie dane trzeba filtrować przed wprowadzaniem do bazy danych lub ich wyświetlaniem na ekran.

$filtr = $_POST['test'];
// $filtr = addslashes($filtr); - gdy chcemy zapisać kod do bazy
$filtr= stripslashes($filtr);
$filtr= strip_tags($filtr);
$filtr = htmlspecialchars($filtr);

Każde bezpośrednie wyświetlanie funkcji z powrotem przez zmienną $_POST na stronie jest niebezpieczne.

Np. tak <input name="test" value=”'.$_POST[‘test’].'”>

Poprawnie wygląda to tak:

<input name="test" value=”'.$filtr.'”>

Jeśli już macie gotowy kod i nie chce się wam go poprawiać to czasami można iść na łatwiznę wstawiając filtr u samej góry kodu.

foreach ($_POST AS $klucz => $wartosc)

{

	$wartosc= trim($wartosc);//usuwamy białe znaki
	  if (get_magic_quotes_gpc()) 

		  $wartosc= stripslashes($wartosc);

	$wartosc=htmlspecialchars($wartosc, ENT_QUOTES);


	$_POST[$klucz]=$wartosc;

}

Można tu wykorzystać też inne funkcje filtrujące.

Myślenie nie boli.

Co do ataków xss sposób nie podam. Ale niewiedza przytłacza.ccccc

Tak samo sprawa wygląda z $_GET tam też trzeba uważać przed dołączeniem złośliwego kodu.

Odnośnik do komentarza
Udostępnij na innych stronach

To są jeszcze programiści, ktotrzy do bazy wrzucają coś bez filtrowania?

Po co w swoim zabezpieczeniu, najpierw dodajesz "/" by po chwili go zabrać? Dodaje się przed wpisaniem do bazy i zabiera by wyswietlić to na stronie.

- Reklama -

Podatki we Wrocławiu: biuro podatkowe wrocław

Miejscówa do parkowania przy Okęciu: parking okęcie

Odnośnik do komentarza
Udostępnij na innych stronach

Z powyższym kodem są 2 problemy. 1. wyklucza możliwość "planowanego" użycia HTML, np. WYSIWYG w panelu admina 2. nie zabezpiecza przed SQLI. Zainteresowanych zabezpieczaniem stron / app internetowych zapraszam na https://beldzio.com

Odnośnik do komentarza
Udostępnij na innych stronach

Z powyższym kodem są 2 problemy. 1. wyklucza możliwość "planowanego" użycia HTML, np. WYSIWYG w panelu admina 2. nie zabezpiecza przed SQLI. Zainteresowanych zabezpieczaniem stron / app internetowych zapraszam na https://beldzio.com

To są ogólne porady. W panelu admina filtrować można za pomocą wyrażeń regularnych.

Co do SQLI można stosować :

wyrażenia regularne oraz fukncję wymyśloną do tego celu

np : $login = mysql_escape_string($login);

Wczoraj zdruzgotało mnie to, że wasze katalogi nie są odporne na te ataki. Właściciele otwarty mini szczególnie zapomnieli o tym problemie. Tak się zastanawiam po co dodawać wpisy skoro można całą stronę na waszych domenach dokleić :pisze:

Odnośnik do komentarza
Udostępnij na innych stronach

To są jeszcze programiści, ktotrzy do bazy wrzucają coś bez filtrowania?

świetne pytanie, sam jestem średnim programistą - ale bądź co bądź ... to podstawy podstaw :-)

rankhouse-logo-top1.png

Pozycjonowanie stron Katowice - www.rankhouse.pl
tel.: 32 307 07 03 / mob.: +48 533 336 613

Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 tygodnie później...
Co do ataków xss sposób nie podam. Ale niewiedza przytłacza.ccccc

Sam posiadam liste ( na dzień dzisiejszy coś ponad 100 000 ) adresów stron internetowych podatnych na ten atak.

Ciekawie można to wykorzystać w black seo (problem w tym że nie wiadomo jak google łapie linki wygenerowane "czasowo")

Co do sposobu to jeżeli go nie podasz jak sie inni mają zabezpieczyć ?

To tak jak byś napisał że musisz załatać dziurę w kole ale nie wiedząc gdzie ona jest.

Najprostsza formuła XSS:

<script>alert('Komunikat')</script>

Oczywiście ich jest dziesiątki.

Ciekawostka:

Do nie dawna strona NASA oraz FBI była podatna na ten błąd ;]

Niektórzy mówią, że dobry programista django jest na wagę złota. Zapraszam Cię na mój blog prawiący o informatyce.
Najlepsze suchary w sieci.

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności