Logo

רד-בורד: ארכיון

ראשי > אבטחת מידע > XSS

15/05/2005 16:44:44 s|rok
שלום,
אני מעוניין לדעת איך אפשר למנוע את הבאג הזה...
נגיד ויש לי פורום (לא PHPBB ולא vbulletin ..) פורום פשוט ולא
של איזה מערכת מורכבת שבה הפרצה לא קיימת....
איך אני אמור להגן על הפורום מפני הבאג הזה ?


תודה,
15/05/2005 19:49:24 cp77fk4r
פשוט מאוד, אחרי שאתה מקבל את הקלט לתוך המשתנה- אתה בודק אם קיימים בו התווים המסוכנים או הערכים שלהם בHex בדרך שהדפדפן מסמן כגון "<" (3E%)ו ">" (3C%) ו"/" (%2F) ו"\" (%5C) וכו’.

אם הם קיימים אתה יכול לעשות שני דברים- הודעת שגיאה שמבקשת מהמשתמש להכניס תווים "חוקיים" או לבצע Replace לתווים אחרים שישמנו אותם.
15/05/2005 20:27:54 s|rok
תודה !

ד"א הפורום הוא לא שלי, ואני לא מכיר את המקור שלו....
פשוט נתקלתי בפורום כזה ברשת...ושאלו אותי איך ניתן להיות מוגנים
מפני הבאג...

16/05/2005 05:02:32 cp77fk4r
בבקשה, שמחתי לעזור.
אם אתה רוצה להבין בכל מני באגים שיכולים להיות במערכות פורומים- הכי מומלץ זה פשוט לנסות לבנות מערכת כזאת ואז לנסות לתקוף אותה- אם הצלחת, לנסות לתקן את הבאג, ואז לתקוף שוב, אם לא מאותו מקום- אז ממקום אחר, ככה גם את הבאג הבא לתקן וכו’ וכו’.
כך אתה גם לומד להכיר את המערכת והבאגים שיכולים להיות בה (ובכל מערכת דומה אחרת), ובכך אתה גם לומד לאבטח את אותם החורים, וכך אתה גם מאתגר את עצמך.
18/05/2005 01:22:25 Zenor
לדעתי קצת קשה לאתר במערכת ש_אתה בנית באגים.. מהסיבה הפשוטה שנגיד קבעת לעצמך צורת עבודה.. אז אתה פחות או יותר מתקבע עליה.. ולכן יהיה לך קשה מאוד לפתוח את הראש ולגלות באגים.
18/05/2005 03:25:03 cp77fk4r
ממ.. יש משהו במה שאתה אומר, אבל אני לא מדבר על תקופה של שבוע.. אני מתכוון על תקופה של הרבה זמן, שאתה לאט לאט מכיר ומפתח באגים שלא היו מוכרים לך בזמן שבנית את המערכת.
עמודים: 1