Komentarze do: Ochrona przed XSS – podstawy http://www.beldzio.com/ochrona-przed-xss-podstawy Bełdziowe spojrzenie na aplikacje internetowe Wed, 23 Nov 2011 11:05:26 +0000 hourly 1 http://wordpress.org/?v=3.1.1 Autor: kl http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-884 kl Thu, 13 May 2010 22:56:26 +0000 http://localhost/wordpress/?p=155#comment-884 Strip_tags nie jest właściwe. Odpowiednie jest htmlspecialchars(), które równie dobrze unieszkodliwia tagi, ale nie rujnuje przy tym tekstu i pozwala napisać "1 mniejsze od 2" bez wycinania znaku mniejszości. Strip_tags nie jest właściwe. Odpowiednie jest htmlspecialchars(), które równie dobrze unieszkodliwia tagi, ale nie rujnuje przy tym tekstu i pozwala napisać „1 mniejsze od 2″ bez wycinania znaku mniejszości.

]]> Autor: panisher http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-809 panisher Fri, 04 Dec 2009 18:41:47 +0000 http://localhost/wordpress/?p=155#comment-809 Witam, a ja proponuje całą tablice $_GET zapisywać jako jedna zmieną typu string a nie tablice. Bardzo prosto to wykonac podam na przykładzie obiektu: mamy plik router.php class routers { static public function _url() { if($_GET['myurl']) { $exp=explode('/', utf8::_mb_strtolower(str_replace(array(' ','.html'), array('',''), trim(htmlentities($_GET['myurl']))))); unset($_GET); } $result->get->$exp; z Post robimy podobnie... . $result->post->$filtrpost return($result); w htaccess dodajemy dyrektywe: RewriteRule ^(.+)$ index.php?myurl=$1 [QSA] Przykładowy adres www.panisher.pl/start/start.html -->.html jest usuwany w $_GET ale widoczny w url na stronie. Znaki specjalne zastępują encje, a znak / dzieli na tablice naszą przefiltrowaną, ponieważ $exp[0] to nazwa pliku,a $exp[1] nazwa metody odpalanej. Jest to kawałek mojego frameworka jaki zastosowałem na panisher.pl, jak ktoś znajdzie lukę niech napiszę. Dostęp odbywa się przez $url = routers::_url(); Witam, a ja proponuje całą tablice $_GET zapisywać jako jedna zmieną typu string a nie tablice.
Bardzo prosto to wykonac podam na przykładzie obiektu: mamy plik router.php

class routers {
static public function _url() {
if($_GET['myurl']) {
$exp=explode(‘/’, utf8::_mb_strtolower(str_replace(array(‘ ‘,’.html’), array(”,”), trim(htmlentities($_GET['myurl'])))));
unset($_GET);
}
$result->get->$exp;

z Post robimy podobnie… .
$result->post->$filtrpost
return($result);
w htaccess dodajemy dyrektywe:
RewriteRule ^(.+)$ index.php?myurl=$1 [QSA]
Przykładowy adres http://www.panisher.pl/start/start.html –>.html jest usuwany w $_GET ale widoczny w url na stronie. Znaki specjalne zastępują encje, a znak / dzieli na tablice naszą przefiltrowaną, ponieważ $exp[0] to nazwa pliku,a $exp[1] nazwa metody odpalanej.

Jest to kawałek mojego frameworka jaki zastosowałem na panisher.pl, jak ktoś znajdzie lukę niech napiszę.
Dostęp odbywa się przez $url = routers::_url();

]]> Autor: Zdzich http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-762 Zdzich Wed, 19 Aug 2009 15:50:59 +0000 http://localhost/wordpress/?p=155#comment-762 @Kokoss: przecież to zwykły GET - do każdego GETa coś możesz dokleić ;) @Kokoss: przecież to zwykły GET – do każdego GETa coś możesz dokleić ;)

]]> Autor: m45 http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-441 m45 Mon, 16 Mar 2009 08:00:22 +0000 http://localhost/wordpress/?p=155#comment-441 Jeszcze było coś takiego co przerabiało znnaki na liczby i potem mozna bylo przy filtrowaniu addslashes lub magic_quotes_gpc dalej walic XSS-a. Jeszcze było coś takiego co przerabiało znnaki na liczby i potem mozna bylo przy filtrowaniu addslashes lub magic_quotes_gpc dalej walic XSS-a.

]]> Autor: Kokoss http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-32 Kokoss Wed, 06 Feb 2008 14:58:29 +0000 http://localhost/wordpress/?p=155#comment-32 Dobry artykuł. Jak już jechać po nfz to jechać :) Register globals też mają włącznone :) http://www.nfz.gov.pl/new/szukaj.php?szukana=%22%3EO%20tak!%20Mamy%20w%B3%B9czone%20register%20globals! :)) Tylko mi jakoś nie udało się użyć tagu h1 :p Ale fakt faktem - XSS jest :) Super art. Dobry artykuł. Jak już jechać po nfz to jechać :) Register globals też mają włącznone :) http://www.nfz.gov.pl/new/szukaj.php?szukana=%22%3EO%20tak!%20Mamy%20w%B3%B9czone%20register%20globals! :)) Tylko mi jakoś nie udało się użyć tagu h1 :p Ale fakt faktem – XSS jest :) Super art.

]]> Autor: Kokoss http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-31 Kokoss Wed, 06 Feb 2008 14:58:28 +0000 http://localhost/wordpress/?p=155#comment-31 Dobry artykuł. Jak już jechać po nfz to jechać :) Register globals też mają włącznone :) http://www.nfz.gov.pl/new/szukaj.php?szukana=%22%3EO%20tak!%20Mamy%20w%B3%B9czone%20register%20globals! :)) Tylko mi jakoś nie udało się użyć tagu h1 :p Ale fakt faktem - XSS jest :) Super art. Dobry artykuł. Jak już jechać po nfz to jechać :) Register globals też mają włącznone :) http://www.nfz.gov.pl/new/szukaj.php?szukana=%22%3EO%20tak!%20Mamy%20w%B3%B9czone%20register%20globals! :)) Tylko mi jakoś nie udało się użyć tagu h1 :p Ale fakt faktem – XSS jest :) Super art.

]]> Autor: Drexav http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-30 Drexav Wed, 31 Oct 2007 23:19:01 +0000 http://localhost/wordpress/?p=155#comment-30 Świetnie! Świetnie!

]]> Autor: Michał `Bełdzio` Ławicki http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-29 Michał `Bełdzio` Ławicki Mon, 06 Aug 2007 14:55:55 +0000 http://localhost/wordpress/?p=155#comment-29 @Tomek temu artukułowi sporo brakuje ;-) pisałem go 2 lata temu, a przez te dwa lata moja wiedza się troszkę zwiększyła ;-) Zostawiłem go tu z kwestii sentymentalnej ;-) Teraz na bieżąco będę pisał o podobnych rzeczach, ale już troszkę konkretniej (mam nadzieję) :)<br /><br />btw pisanie obiektowo jest bardziej naturalne :) np<br /><br /><code><br />class Ptak<br />{<br /> public function lec(){}<br /> public function cwirkaj(){}<br /> public function zjedzRobaka(){}<br />}<br />$oPtak -> lec( ) etc :) <br /></code> @Tomek temu artukułowi sporo brakuje ;-) pisałem go 2 lata temu, a przez te dwa lata moja wiedza się troszkę zwiększyła ;-) Zostawiłem go tu z kwestii sentymentalnej ;-) Teraz na bieżąco będę pisał o podobnych rzeczach, ale już troszkę konkretniej (mam nadzieję) :)

btw pisanie obiektowo jest bardziej naturalne :) np


class Ptak
{
public function lec(){}
public function cwirkaj(){}
public function zjedzRobaka(){}
}
$oPtak -> lec( ) etc :)

]]> Autor: Tomek http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-28 Tomek Mon, 06 Aug 2007 13:46:06 +0000 http://localhost/wordpress/?p=155#comment-28 Artykuł zgodnie z nazwą jest skierowany raczej do bardzo początkujących webmasterów.<br />Co ro register_globals to jest za tym by wyłączyć, a przypisać sobie do zmiennych przefiltrowane dane z formularza.<br />Co do pisania obiektowo to sam sie przyznam ze pisze strukturalnie, a idea obiektowa jest dla mnie poki co nie naturalna. Dopiero raczkuje ;) Artykuł zgodnie z nazwą jest skierowany raczej do bardzo początkujących webmasterów.
Co ro register_globals to jest za tym by wyłączyć, a przypisać sobie do zmiennych przefiltrowane dane z formularza.
Co do pisania obiektowo to sam sie przyznam ze pisze strukturalnie, a idea obiektowa jest dla mnie poki co nie naturalna. Dopiero raczkuje ;)

]]> Autor: sxs http://www.beldzio.com/ochrona-przed-xss-podstawy/comment-page-1#comment-27 sxs Wed, 30 May 2007 17:57:06 +0000 http://localhost/wordpress/?p=155#comment-27 "><h1>Test XSS</h1> "><h1>Test XSS</h1>

]]>