Archwium kategorii ‘HTML Injection’
Cross-site request forgery – CSRF
W notce Bezpieczenstwo mechanizmu sesji wspomniałem o niebezpieczeństwie związanym z CSRF. Kilka osób dało mi znać, że pojecie to nadaj nie jest dla nich jasne. W poniższej notce postaram się rozwiązać wszelkie wątpliwości.
Obsługa HTML
Jakiś czas temu w notce Niebezpieczeństwo HTML’a nakreśliłem problem wstrzyknięć kodu HTML. W komentarzach kilkukrotnie pojawiło się pytanie o sposób obrony przed tego typu zagrożeniem. Najprostszą obroną jest usuwanie wszelkich tagów HTML z przesłanych danych. Możemy tego dokonać korzystając z funkcji strip_tags oraz htmlspecialchars. W przypadku drugiej funkcji warto zainteresować się jej opcjonalnymi parametrami tzn. […]
Niebezpieczeństwo HTML’a
Od dawna w Internecie przyjęło się, że ataki z rodziny HTML Injection są mało groźne i nie warto się nimi przejmować. Potwierdzeniem tego faktu jest ogromna liczba podatnych stron, w skład których wchodzą takie serwisy jak Onet, Wirtualna Polska, Gazeta.pl, a nawet YouTube. Faktem decydującym o takim stanie rzeczy jest utożsamianie tych ataków z niegroźnymi […]
Ochrona przed XSS – podstawy
Czym jest XSS ?? XSS czyli Cross Site Scripting to sposób na wstawienie swojego kodu na podatną stronę. Dzieje się to przez obdarzenie użytkownika zbyt dużym zaufaniem, czego skutkiem może być kompromitacja naszej strony. Jakby zareagowali nasi klienci gdyby dowiedzieli się, że ich dane są w posiadaniu osób, które nie powinny mieć do nich dostępu, […]