[ balkan7 @ 24.03.2014. 21:52 ] @
| Zdravo Napadnut sam XSS, treba mi pomoc o nekoliko primera. Koristim svoj CMS tako da moram ovo sam popraviti, zato treba mi neke savete ... 1. Radi se o slikama Tacno nesecam se gde sam pronasao da mogu hakeri koristiti XSS na slikama koje se ucitava sa echo Recimo slika je postavljena u bazi koristeci filter dali je jpg png i sl... Code: $result = mysql_query("Select * gallery i take dalje"); if(mysql_num_rows($result) != ""){ while($data = mysql_fetch_assoc($result)){ echo "<img src='images/".$data['photo_name']."' />"; } } Jel ovo je xss vulnerability? 2. tinyMCE U ovom slucaju moram snimiti HTML code u bazi, za ovo sam koristio samo filter stripslashes($_POST['content']) najvise sumljam u ovome. Ali sta ako koristim za upis u bazi filter htmlentities(); prikaz sa html_entity_decode(); Jel ovo je bolja opcija za XSS vulnerability ? 3. PHP define(); Ponekad koristim HTML code u define(); Code: define("TEST", "<b>Hello</b> <br />world."); echo "<div>".TEST."</div>"; Jel ovo je xss vulnerability? I za kraj sta je najbolje koristit za polja recimo text plain ( $_POST['title'] ). Hvala |
Nemoj upisivati u bazu escape-ovan HTML, to nema nimalo smisla. Jer ti i ako uradiš na taj način, ako ti neko ubaci neki zlonamerni <script> tag u taj HTML, kad ga decode-uješ opet si na istom. Znači sasvim regularno je da ti na nekim mestima treba da dozvoliš članu tvog sajta da ispiše neki HTML, tipa ako je u pitanju neki sajt gde se post-uju članci, da taj autor može da dekoriše to što piše nekim HTML-om. Ili jednostavno da omogućiš posetiocima sajta da u svoim komentarima mogu koristiti samo neki osnovi set HTML tagova. E upravo u tome i jeste stvar u ovoj situaciji, da ti filtriraš HTML, a ne da ga escape-uješ, pošto je zahtev takav moraš da ga ispišeš. A filtriranje podrazumeva da iz njega izbaciš sve tagove osim onih koje želiš da dozvoliš. Jednostavan primer bi bio korišćenjem strip_tags funkcije: