 zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! |
| zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 116 Pomógł: 0 Dołączył: 11.09.2007 Skąd: Bydgoszcz Ostrzeżenie: (20%) 
 |
jako, że nie mogę zabezpieczać danych odbieranych z formularza w sposób "normalny" tj. funkcjami typu htmlspecialchars. Moje pytanie brzmi: Jakie muszę znaczniki zabezpieczać oprócz <script....>....</script> oraz <? ...... ?>
(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Ten post edytował firex 7.11.2007, 09:21:01 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 116 Pomógł: 0 Dołączył: 11.09.2007 Skąd: Bydgoszcz Ostrzeżenie: (20%)
|
Kod $zle=array( '/<script.*>.*<\/script>/is', '/<\?.*\?>/s', '/onAbort=.*/i', '/onBlur=.*/i', '/onChange=.*/i', '/onClick=.*/i', '/onDblClick=.*/i', '/onDragDrop=.*/i', '/onError=.*/i', '/onFocus=.*/i', '/onKeyDown=.*/i', '/onKeyPress=.*/i', '/onKeyUp=.*/i', '/onLoad=.*/i', '/onMouseDown=.*/i', '/onMouseOut=.*/i', '/onMouseOver=.*/i', '/onMouseUp=.*/i', '/onMove=.*/i', '/onReset=.*/i', '/onResize=.*/i', '/onSelect=.*/i', '/onSubmit=.*/i', '/onUnload=.*/i' ); $tekst=preg_replace($zle, '', $dane); wykombinowałem coś takiego. mam nadzieję, że się przyda komuś (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) i po / oznacza, że wielkość znaków w porównywanym ciągu nie ma znaczenia s oznacza, że porównywanie będzie wieloliniowe |
|
|
|
firex zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! 6.11.2007, 07:55:01 
qqrq Wytłumacz dokładnie o co ci chodzi. Co to znaczy ... 6.11.2007, 09:15:01 rolnix Chcesz wykopać wszystkie tagi poza <script... 6.11.2007, 09:29:20 firex CytatChcesz wykopać wszystkie tagi poza <scrip... 6.11.2007, 14:52:27 bełdzio blokada samych znaczników Ci nic nie da, JS można ... 6.11.2007, 15:19:03 firex ok, o to mi właśnie chodziło zadając to pytanie.
... 6.11.2007, 15:35:08 jang http://dev.ellislab.com/svn/CodeIgniter/tr...aries... 6.11.2007, 17:39:56 marcio a nie mozna zrobci funkcje filtrujaca znaki za pom... 6.11.2007, 18:24:46 marcio no widzisz wcale takie trudne to to nie bylo prawi... 6.11.2007, 20:34:39 firex trudne nie, ale potrzebowałem dowiedzieć się jakie... 6.11.2007, 21:09:24 marcio a czego sie tu dowiadywac znaczniki script i wszys... 6.11.2007, 21:13:31 firex przez znacznik img też można się włamać, ale to ju... 6.11.2007, 21:35:35 marcio tak zapomnialem atak sie nazywa CSRF czy jakos tak 6.11.2007, 21:40:17 rolnix @jang: jestem ci wdzięczny do końca życia za ten l... 6.11.2007, 21:51:29 jang Cała przyjemność po mojej stronie 6.11.2007, 22:02:18 firex proszę o przetestowanie i próbę zhackowania (i opi... 7.11.2007, 09:20:10 nospor wpisalem sobie:
Kod<a href="javascript... 7.11.2007, 09:48:46 phpion.com A ja Ci "wyczyściłem" okno 7.11.2007, 12:30:23 firex ok, dodałem obcinanie Kodjavascript:.*
oraz
st... 7.11.2007, 12:59:04 
phpion.com Cytat(firex @ 7.11.2007, 14:59:04 ) p... 7.11.2007, 14:08:49 Ertai Nie chcialo mi sie wysilac wiec skopiowalem powyzs... 7.11.2007, 13:13:31 firex ten kod nic nie robi ze stroną - nie hackuje. 7.11.2007, 13:22:44 Ertai To co to jest hacking tej strony? Ja wkleilem ten ... 7.11.2007, 13:24:39 firex poprawione, nie przeczytałem wcześniej t... 7.11.2007, 13:36:14 firex następny prosze... 7.11.2007, 14:24:39 phpion.com Cytat(firex @ 7.11.2007, 16:24:39 ) n... 7.11.2007, 18:51:46 Tibod no to może tak:
[HTML] pobierz, plaintext <a h... 7.11.2007, 16:29:04 bełdzio <p onclick = "alert(1)">fds</p... 7.11.2007, 18:07:59 firex okrutna ta wisieńka... 7.11.2007, 19:33:44 Blodo http://namb.la/popular/tech.html
Fajny artykul o ... 7.11.2007, 20:28:51 firex dzięki Blodo, przyda się.
Właściwie to obiegliśmy... 7.11.2007, 21:47:14 orglee Zdaje się że w ogóle nie rozumiesz istoty przykład... 7.11.2007, 23:38:55 cicik Nie żebym marudny był ale po to chyba właśnie wymy... 9.11.2007, 14:45:21  |
|
Aktualny czas: 6.10.2025 - 09:52 |
