[www/skrypt] Ocena skryptu komentarzy, Czyli rozbudowa MaterDefense Opcje

[!*!]

:D:D
dobre jak sie nic nie poda tylko przesle pusty form -> http://materdefense.ugu.pl/images/xss.jpg
:DDDDDDDD

A czemu chciałeś mu zrobić XSS?

[materkamil]

Zaraz to zabezpiecze, jednak zrobiłem trochę inny "chwyt". Dodałem do skryptu taką funkcję że po każdym przesłanym komentarzu pobiera się IP.

No ale teraz dlaczego przepuszcza znaki ; i &? Przecież jak wpiszę ; lub & pokazuje obrazek!

[usb2.0]

A czemu chciałeś mu zrobić XSS?

do tej pory mialem inne pojecie o xss:P

[!*!]

Zaraz to zabezpiecze, jednak zrobiłem trochę inny "chwyt". Dodałem do skryptu taką funkcję że po każdym przesłanym komentarzu pobiera się IP.

A po co Ci to IP? To tylko nagłówek który można nadpisać, ktoś za każdym odwołaniem formularza który wykona się co sekundę, będzie mieć inne IP, to nie tu leży problem.

do tej pory mialem inne pojecie o xss:P

Ja też... ciekawe czy w google wiedzą o tym.

[materkamil]

Jeśli chodzi o XSS to jest to stary obrazek jeszcze sprzed tamtego skryptu. Chodziło o to że jak ktoś użyje znaku >, < lub jakiegoś tagu HTML od razu jako błąd mu wyświetla obrazek o XSS

PS: Myśle nad tym zabezpieczeniem ale coś nie za bardzo mam pomysł. Pierwsze po ściągnięciu IP pokazało się miasto -> POZNAŃ, ale teraz idzie przez proxy

[phpion]

Zakazujesz używania <, a co jeśli jakaś laseczka będzie chciała wstawić serduszko <3?

[!*!]

Pokaż kod, to raz. A dwa... Ty na prawdę nie masz pojęcia co robisz. Przemyśl swój skrypt od początku i to jak ma działać. I dlaczego ma być błąd jak wpiszę < lub >? a co ja w komentarzu będę chciał napisać 0<1 ?

edycja:

@up: na numer z serduszkiem nie wpadłem

Ten post edytował !*! 4.05.2012, 09:01:22

[k_@_m_i_l]

! albo ? też nie da się przesłać. Śmiechu warte to wszystko jest

[materkamil]

I dlaczego ma być błąd jak wpiszę < lub >?

Bo blokuje to wyrażenie regularne. Można używać tylko liter, cyfr i polskich znaków.

[PHP] pobierz, plaintext 
if(preg_match('#[a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\.]{1,200}#is',$1niepowiem) && preg_match('#[a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\.]{1,200}#is',$2niepowiem)) { 
[PHP] pobierz, plaintext 

Do tego jest strip_tags

[usb2.0]

to się laseczka zmartwi pewnie : P
ale ja kolego nie wpisalem nic a mimo to zostalem posądzony o atak no to jak w koncu hm?

[!*!]

Tylko ja mam wrażenie że te wyrażenie zwraca true gdy wystąpi znak?

[materkamil]

Ja nie!

Przecież to jest: preg_match czyli jeśli pasuje to schematu a-zA-Z0-9 to wtedy {
wykonaj sql
}
else
{
komunikat blad
}

Przecież po wpisaniu u mnie dowolnego znaku cały czas jest błąd!

Ten post edytował materkamil 4.05.2012, 09:08:01

[!*!]

Zacznijmy od tego że zmienna nie może zaczynać sie od cyfry, a Twoje wyrażenie zwraca true gdy znajdzie a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\. więc zrobiłeś dokładnie odwrotnie. Sprawdź co Ci pokazuje to w var_dump() bo u mnie jest jak w mordę strzelił że TRUE.

[phpion]

$1niepowiem

Najpierw dowiedz się jak można, a jak nie można nazywać zmiennych. Nawet jeśli te nazwy podmieniłeś tu na forum by utrudnić życie hackerom (ciekawe jak mieliby wykorzystać wiedzę o nazwie zmiennej...) to i tak zrobiłeś to błędnie

[k_@_m_i_l]

Przepraszam, za offtop ale natrafiłem na inny wątek @materkamil-a (http://forum.php.pl/Nasz_Internet_umarl_przez_gotowe_skrypty_t197980.html) gdzie twierdzi:

"Admini tych stron nie wiedzą co to jest HTML, nie mówiąc o PHP. ".

Materkamil - Ty spójrz na siebie, bo to co prezentujesz w tym wątku i w wątku poprzednim o stronie, to jest tragedia. Nie znasz php, więc zgodnie z Twoim tokiem rozumowania to sam nie powinieneś posiadać strony, bo o PHP to nie masz zielonego pojęcia.

I na marginesie, to widzę, że rowolucje chcesz przeprowadzić:

Wg. mnie pasowało by zrobić rewolucję w Internecie, wykasować te wszystkie jomle, wordpressy.

Ten post edytował k_@_m_i_l 4.05.2012, 09:21:31

[!*!]

Duchowny † stawiam krzyż nad Twoim losem programisty

Ludzie są okrutni

Ok, czekamy na poprawiony i w 100% bezpieczny (po raz kolejny) skrypt.

[materkamil]

a Twoje wyrażenie zwraca true gdy znajdzie a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\.

Ale po tym jest jeszcze {1,200} więc wyrażenie zwraca true przecież jak znajdzie od 1-200 znaków które są jedynie literami i cyframi a jak znajduje znak np: taki > to zwraca false.

U mnie żaden znak taki jak <, >, /, ; itp nie przechodzi. Przechodzą na true tylko litery i cyfry. Tzn. wpisuje jeden z wymienionych znaków i wywala false.

[!*!]

Ale po tym jest jeszcze {1,200} więc wyrażenie zwraca true przecież jak znajdzie od 1-200 znaków które są jedynie literami i cyframi a jak znajduje znak np: taki > to zwraca false.

To tylko sprawdza czy znaki występują w ilośći od 1 do 200.

U mnie żaden znak taki jak <, >, /, ; itp nie przechodzi. Przechodzą na true tylko litery i cyfry. Tzn. wpisuje jeden z wymienionych znaków i wywala false.

U mnie po wpisaniu <div> zwraca true, dlaczego? bo div pasuje do tego wyrażenia. False zwraca gdy wpiszę samo <>.

[materkamil]

Zwariowałem już całkiem. W takim razie jak zmienić to wyrażenie aby przepuściło tylko litery.

Skrypt już jest bezpieczny w 100% bo jest wycinanie tagów więc nic nie użyjesz

[k_@_m_i_l]

Skrypt już jest bezpieczny w 100% bo jest wycinanie tagów więc nic nie użyjesz

Za każdym razem Twoje skrypty są w "100% bezpieczne", a jednak zawsze coś nie działa. Czyżbyśmy mieli na forum takich specjalistów, którzy są w stanie obejść skrypty "zabezpieczone w 100%" ?