Доброй ночи !
Ребята сегодня я кажется нашел дырку у себя на сайте, если в текст комментария вставить <script>alert('test');</script>, то выбивает test, это опасно или нет?
1. event - 08 Августа, 2011 - 00:27:05 - перейти к сообщению
2. dzubchik - 08 Августа, 2011 - 00:36:09 - перейти к сообщению
Конечно. Вам стоит обработать перед выводом тест функцией strip_tags или подобной
3. DeepVarvar - 08 Августа, 2011 - 00:39:04 - перейти к сообщению
просто htmlspecialchars
4. event - 08 Августа, 2011 - 08:49:02 - перейти к сообщению
Дырку я уже закрыл, функцией htmlspecialchars.
Ребята чуть поподробнее какие последсвия могут быть, как именно через такие дырки занося информацию, хочется и для себе знать на будущее.
Ребята чуть поподробнее какие последсвия могут быть, как именно через такие дырки занося информацию, хочется и для себе знать на будущее.
5. Мелкий - 08 Августа, 2011 - 09:12:33 - перейти к сообщению
Например, та дырка, что вы нашли - называется XSS. Злоумышленник получает в этом случае полный доступ к JS - изменение оформления, содержания страницы, спереть куки и идентификатор сессии, считать bitcoin силами ваших пользователей без их на то согласия, сделать редирект на свой ресурс (по желанию с вирусной атакой) и просто всё, что умеет JS, от имени вашего сайта.
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..
6. event - 08 Августа, 2011 - 09:36:04 - перейти к сообщению
Мелкий пишет:
Например, та дырка, что вы нашли - называется XSS. Злоумышленник получает в этом случае полный доступ к JS - изменение оформления, содержания страницы, спереть куки и идентификатор сессии, считать bitcoin силами ваших пользователей без их на то согласия, сделать редирект на свой ресурс (по желанию с вирусной атакой) и просто всё, что умеет JS, от имени вашего сайта.
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..
Понятно, пошел проверять полностью свой сайт