 zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! |
| zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 116 Pomógł: 0 Dołączył: 11.09.2007 Skąd: Bydgoszcz Ostrzeżenie: (20%) 
 |
jako, że nie mogę zabezpieczać danych odbieranych z formularza w sposób "normalny" tj. funkcjami typu htmlspecialchars. Moje pytanie brzmi: Jakie muszę znaczniki zabezpieczać oprócz <script....>....</script> oraz <? ...... ?>
(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Ten post edytował firex 7.11.2007, 09:21:01 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 999 Pomógł: 30 Dołączył: 14.01.2007 Skąd: wiesz ? Ostrzeżenie: (0%) 
|
Zdaje się że w ogóle nie rozumiesz istoty przykładów z użyciem alert-a.
Ludzie tutaj pokazują ci że można użyć JavaScript-u. Funkcja alert() sama w sobie jest w zasadzie nieszkodliwa. Pogłówkuj jaki inny kod możesz wstawić ZAMIAST funkcji alert. Zresztą zdaje się że phpion już naświetlił wystarczająco sprawę swoim przykładem, a to nie najgorsze co może spotkać osobę która wejdzie na taką stronę. Najbezpieczniejsza metoda to wywalać wszystkie tagi i używać BBCODE. Ewentualnie możesz najpierw pobierać tagi na które zezwalasz, a usuwać pozostałe preg_match_all() i preg_replace(). |
|
|
|
firex zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT! 6.11.2007, 07:55:01 
qqrq Wytłumacz dokładnie o co ci chodzi. Co to znaczy ... 6.11.2007, 09:15:01 rolnix Chcesz wykopać wszystkie tagi poza <script... 6.11.2007, 09:29:20 firex CytatChcesz wykopać wszystkie tagi poza <scrip... 6.11.2007, 14:52:27 bełdzio blokada samych znaczników Ci nic nie da, JS można ... 6.11.2007, 15:19:03 firex ok, o to mi właśnie chodziło zadając to pytanie.
... 6.11.2007, 15:35:08 jang http://dev.ellislab.com/svn/CodeIgniter/tr...aries... 6.11.2007, 17:39:56 marcio a nie mozna zrobci funkcje filtrujaca znaki za pom... 6.11.2007, 18:24:46 firex Kod $zle=array(
'/<script.*... 6.11.2007, 20:20:38 marcio no widzisz wcale takie trudne to to nie bylo prawi... 6.11.2007, 20:34:39 firex trudne nie, ale potrzebowałem dowiedzieć się jakie... 6.11.2007, 21:09:24 marcio a czego sie tu dowiadywac znaczniki script i wszys... 6.11.2007, 21:13:31 firex przez znacznik img też można się włamać, ale to ju... 6.11.2007, 21:35:35 marcio tak zapomnialem atak sie nazywa CSRF czy jakos tak 6.11.2007, 21:40:17 rolnix @jang: jestem ci wdzięczny do końca życia za ten l... 6.11.2007, 21:51:29 jang Cała przyjemność po mojej stronie 6.11.2007, 22:02:18 firex proszę o przetestowanie i próbę zhackowania (i opi... 7.11.2007, 09:20:10 nospor wpisalem sobie:
Kod<a href="javascript... 7.11.2007, 09:48:46 phpion.com A ja Ci "wyczyściłem" okno 7.11.2007, 12:30:23 firex ok, dodałem obcinanie Kodjavascript:.*
oraz
st... 7.11.2007, 12:59:04 
phpion.com Cytat(firex @ 7.11.2007, 14:59:04 ) p... 7.11.2007, 14:08:49 Ertai Nie chcialo mi sie wysilac wiec skopiowalem powyzs... 7.11.2007, 13:13:31 firex ten kod nic nie robi ze stroną - nie hackuje. 7.11.2007, 13:22:44 Ertai To co to jest hacking tej strony? Ja wkleilem ten ... 7.11.2007, 13:24:39 firex poprawione, nie przeczytałem wcześniej t... 7.11.2007, 13:36:14 firex następny prosze... 7.11.2007, 14:24:39 phpion.com Cytat(firex @ 7.11.2007, 16:24:39 ) n... 7.11.2007, 18:51:46 Tibod no to może tak:
[HTML] pobierz, plaintext <a h... 7.11.2007, 16:29:04 bełdzio <p onclick = "alert(1)">fds</p... 7.11.2007, 18:07:59 firex okrutna ta wisieńka... 7.11.2007, 19:33:44 Blodo http://namb.la/popular/tech.html
Fajny artykul o ... 7.11.2007, 20:28:51 firex dzięki Blodo, przyda się.
Właściwie to obiegliśmy... 7.11.2007, 21:47:14 cicik Nie żebym marudny był ale po to chyba właśnie wymy... 9.11.2007, 14:45:21  |
|
Aktualny czas: 13.10.2025 - 12:59 |
