zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! Opcje

[firex]

jako, że nie mogę zabezpieczać danych odbieranych z formularza w sposób "normalny" tj. funkcjami typu htmlspecialchars. Moje pytanie brzmi: Jakie muszę znaczniki zabezpieczać oprócz <script....>....</script> oraz <? ...... ?>
(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował firex 7.11.2007, 09:21:01

[qqrq]

Wytłumacz dokładnie o co ci chodzi. Co to znaczy "zabezpieczać" znaczniki?

[rolnix]

Chcesz wykopać wszystkie tagi poza <script> i <? ?>? Ale jak chcesz wykopać <?, skoro są one abstrakcyjne, tzn. php ich nie widzi?

[firex]

Chcesz wykopać wszystkie tagi poza <script> i <? ?>?

odwrotnie. Robię skrypt do generowania formularzy. Przykładowo wpiszę w specjalne pole {memo=super} i utworzy się <textarea name="super"></textarea> (w podglądzie). ale oprócz specjalnych znaczników, zdefiniowanych przeze mnie chcę dać też możliwość używania HTMLa.

Moim pytaniem jest jakie znaczniki HTMLa powinienem zablokować (usuwać), inaczej mówiąc jakie znaczniki są stwarzają potencjalne zagrożenie dla strony?

[bełdzio]

blokada samych znaczników Ci nic nie da, JS można wykonać z każdym znacznikiem np korzystając z onload etc

[firex]

ok, o to mi właśnie chodziło zadając to pytanie.

Czyli na razie na liście blokowanych jest <script.....>....</script> oraz <?......?> oraz zdarzenia typu onload=..... Coś jeszcze?

[jang]

http://dev.ellislab.com/svn/CodeIgniter/tr...aries/Input.php

Zobacz sobie -> function xss_clean($str)

[marcio]

a nie mozna zrobci funkcje filtrujaca znaki za pomoca eregi lub preg_match()

Ten post edytował marcio 6.11.2007, 18:26:15

[firex]

Kod

  $zle=array(
             '/<script.*>.*<\/script>/is',
             '/<\?.*\?>/s',
             '/onAbort=.*/i',
             '/onBlur=.*/i',
             '/onChange=.*/i',
             '/onClick=.*/i',
             '/onDblClick=.*/i',
             '/onDragDrop=.*/i',
             '/onError=.*/i',
             '/onFocus=.*/i',
             '/onKeyDown=.*/i',
             '/onKeyPress=.*/i',
             '/onKeyUp=.*/i',
             '/onLoad=.*/i',
             '/onMouseDown=.*/i',
             '/onMouseOut=.*/i',
             '/onMouseOver=.*/i',
             '/onMouseUp=.*/i',
             '/onMove=.*/i',
             '/onReset=.*/i',
             '/onResize=.*/i',
             '/onSelect=.*/i',
             '/onSubmit=.*/i',
             '/onUnload=.*/i'
             );

  $tekst=preg_replace($zle, '', $dane);

wykombinowałem coś takiego. mam nadzieję, że się przyda komuś (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

i po / oznacza, że wielkość znaków w porównywanym ciągu nie ma znaczenia
s oznacza, że porównywanie będzie wieloliniowe

[marcio]

no widzisz wcale takie trudne to to nie bylo prawie to samo by wyszlo za pomoca eregi()

[firex]

trudne nie, ale potrzebowałem dowiedzieć się jakie znaczniki mogą by niebezpieczne dla mojej strony...

[marcio]

a czego sie tu dowiadywac znaczniki script i wszystkie zdarzenia js (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[firex]

przez znacznik img też można się włamać, ale to już wyższa technologia <roftl>

[marcio]

tak zapomnialem atak sie nazywa CSRF czy jakos tak

[rolnix]

@jang: jestem ci wdzięczny do końca życia za ten link (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[jang]

Cała przyjemność po mojej stronie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[firex]

proszę o przetestowanie i próbę zhackowania (i opisanie tutaj w jaki sposób zostało zhackowane)...

http://firex.ugu.pl/

[nospor]

wpisalem sobie:

Kod

<a href="javascript:alert('No i cie shakowalem');">nic hakującego</a>

Zgadnij jaki byl efekt (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[phpion]

A ja Ci "wyczyściłem" okno (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[firex]

ok, dodałem obcinanie

Kod

javascript:.*
oraz
style=".*"

próbujcie dalej (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)