Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Опасно или нет?

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
event
Отправлено: 08 Августа, 2011 - 00:27:05
Post Id


Частый посетитель


Покинул форум
Сообщений всего: 542
Дата рег-ции: Май 2011  


Помог: 0 раз(а)
Доброй ночи !
Ребята сегодня я кажется нашел дырку у себя на сайте, если в текст комментария вставить <script>alert('test');</script>, то выбивает test, это опасно или нет?
 
 Top
dzubchik
Отправлено: 08 Августа, 2011 - 00:36:09
Post Id



Гость


Покинул форум
Сообщений всего: 97
Дата рег-ции: Июль 2010  


Помог: 1 раз(а)
Конечно. Вам стоит обработать перед выводом тест функцией strip_tags или подобной
 
 Top
DeepVarvar Супермодератор
Отправлено: 08 Августа, 2011 - 00:39:04
Post Id



Активный участник


Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008  
Откуда: Альфа Центавра


Помог: 353 раз(а)
просто htmlspecialchars
 
 Top
event
Отправлено: 08 Августа, 2011 - 08:49:02
Post Id


Частый посетитель


Покинул форум
Сообщений всего: 542
Дата рег-ции: Май 2011  


Помог: 0 раз(а)
Дырку я уже закрыл, функцией htmlspecialchars.
Ребята чуть поподробнее какие последсвия могут быть, как именно через такие дырки занося информацию, хочется и для себе знать на будущее.
 
 Top
Мелкий Супермодератор
Отправлено: 08 Августа, 2011 - 09:12:33
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Например, та дырка, что вы нашли - называется XSS. Злоумышленник получает в этом случае полный доступ к JS - изменение оформления, содержания страницы, спереть куки и идентификатор сессии, считать bitcoin силами ваших пользователей без их на то согласия, сделать редирект на свой ресурс (по желанию с вирусной атакой) и просто всё, что умеет JS, от имени вашего сайта.
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..


-----
PostgreSQL DBA
 
 Top
event
Отправлено: 08 Августа, 2011 - 09:36:04
Post Id


Частый посетитель


Покинул форум
Сообщений всего: 542
Дата рег-ции: Май 2011  


Помог: 0 раз(а)
Мелкий пишет:
Например, та дырка, что вы нашли - называется XSS. Злоумышленник получает в этом случае полный доступ к JS - изменение оформления, содержания страницы, спереть куки и идентификатор сессии, считать bitcoin силами ваших пользователей без их на то согласия, сделать редирект на свой ресурс (по желанию с вирусной атакой) и просто всё, что умеет JS, от имени вашего сайта.
(Добавление)
А заносится просто - вставляется код JS в поле ввода, а дальше вы как и сами размещаете код на сайте..


Понятно, пошел проверять полностью свой сайт Голливудская улыбка
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB