konrados
15.11.2008, 14:28:27
Witam,
Na jednym z moich serwisów zamierzam dać użytkownikom możliwość tworzenia własnych plików css - które będą używane przez pewne podstrony.
No i zastanawiam się jakie mogą się z tym wiązać niebezpieczeństwa. Zamierzam usunąć wszelkie < oraz >, ale czy to wystarczy? Szukałem o "css injection" ale średnio rozumiem...
bim2
15.11.2008, 14:37:12
Mogą conajwyżej zepsuć Ci stronkę. Zobacz gtathegame.net , a dokładniej blogi zakładane przez userów. Tam też można css wstawiać. :]
konrados
15.11.2008, 14:46:13
Dzięki. Co najwyżej zepsują swoją własną stronkę, bo każdy user ma w tym serwisie stronę i tylko dla niej może edytować css.
Ale... jesteś pewien, że nie ma jakichś hakerskich tricków? Niech sobie stronkę swoją zepsują, ja się martwię o możliwość włamania/wydobycia jakiś informacji. Gdzieś kiedyś czytałem łatwo przystępny artykuł o tych "css injections" ale już nie mogę go znaleźć.
NIE MA
no chyba że ten plik na serwerze (tj. css) bedzie mógł działać jako skrypt php. Choc to bardzo mało prawdopodobne
chodzi mi o to że na serwerze nie może być to wpisane w mime type
konrados
15.11.2008, 14:55:23
OK, czuję się pocieszony:) Dzięki Wam obu.
p.s. nie, plik nie jest parsowany jako php.
UPDATE: a nawet jakby był parsowany jako .php, to jeśli usunę wszelkie < oraz > to chyba jest bezpiecznie ?
bim2
15.11.2008, 14:56:34
Jest.
konrados
15.11.2008, 15:04:48
No to idę szaleć, dzięki.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.