Pełna wersja: zabezpieczenie skryptu - sHACKUJ MÓJ SKRYPT!
jako, że nie mogę zabezpieczać danych odbieranych z formularza w sposób "normalny" tj. funkcjami typu htmlspecialchars. Moje pytanie brzmi: Jakie muszę znaczniki zabezpieczać oprócz <script....>....</script> oraz <? ...... ?>
Wytłumacz dokładnie o co ci chodzi. Co to znaczy "zabezpieczać" znaczniki?
Chcesz wykopać wszystkie tagi poza <script> i <? ?>? Ale jak chcesz wykopać <?, skoro są one abstrakcyjne, tzn. php ich nie widzi?
Cytat
Chcesz wykopać wszystkie tagi poza <script> i <? ?>?
odwrotnie. Robię skrypt do generowania formularzy. Przykładowo wpiszę w specjalne pole {memo=super} i utworzy się <textarea name="super"></textarea> (w podglądzie). ale oprócz specjalnych znaczników, zdefiniowanych przeze mnie chcę dać też możliwość używania HTMLa. Moim pytaniem jest jakie znaczniki HTMLa powinienem zablokować (usuwać), inaczej mówiąc jakie znaczniki są stwarzają potencjalne zagrożenie dla strony?
blokada samych znaczników Ci nic nie da, JS można wykonać z każdym znacznikiem np korzystając z onload etc
ok, o to mi właśnie chodziło zadając to pytanie.
Czyli na razie na liście blokowanych jest <script.....>....</script> oraz <?......?> oraz zdarzenia typu onload=..... Coś jeszcze?
Czyli na razie na liście blokowanych jest <script.....>....</script> oraz <?......?> oraz zdarzenia typu onload=..... Coś jeszcze?
http://dev.ellislab.com/svn/CodeIgniter/tr...aries/Input.php
Zobacz sobie -> function xss_clean($str)
Zobacz sobie -> function xss_clean($str)
a nie mozna zrobci funkcje filtrujaca znaki za pomoca eregi lub preg_match()
Kod
$zle=array(
'/<script.*>.*<\/script>/is',
'/<\?.*\?>/s',
'/onAbort=.*/i',
'/onBlur=.*/i',
'/onChange=.*/i',
'/onClick=.*/i',
'/onDblClick=.*/i',
'/onDragDrop=.*/i',
'/onError=.*/i',
'/onFocus=.*/i',
'/onKeyDown=.*/i',
'/onKeyPress=.*/i',
'/onKeyUp=.*/i',
'/onLoad=.*/i',
'/onMouseDown=.*/i',
'/onMouseOut=.*/i',
'/onMouseOver=.*/i',
'/onMouseUp=.*/i',
'/onMove=.*/i',
'/onReset=.*/i',
'/onResize=.*/i',
'/onSelect=.*/i',
'/onSubmit=.*/i',
'/onUnload=.*/i'
);
$tekst=preg_replace($zle, '', $dane);
'/<script.*>.*<\/script>/is',
'/<\?.*\?>/s',
'/onAbort=.*/i',
'/onBlur=.*/i',
'/onChange=.*/i',
'/onClick=.*/i',
'/onDblClick=.*/i',
'/onDragDrop=.*/i',
'/onError=.*/i',
'/onFocus=.*/i',
'/onKeyDown=.*/i',
'/onKeyPress=.*/i',
'/onKeyUp=.*/i',
'/onLoad=.*/i',
'/onMouseDown=.*/i',
'/onMouseOut=.*/i',
'/onMouseOver=.*/i',
'/onMouseUp=.*/i',
'/onMove=.*/i',
'/onReset=.*/i',
'/onResize=.*/i',
'/onSelect=.*/i',
'/onSubmit=.*/i',
'/onUnload=.*/i'
);
$tekst=preg_replace($zle, '', $dane);
wykombinowałem coś takiego. mam nadzieję, że się przyda komuś
i po / oznacza, że wielkość znaków w porównywanym ciągu nie ma znaczenia
s oznacza, że porównywanie będzie wieloliniowe
no widzisz wcale takie trudne to to nie bylo prawie to samo by wyszlo za pomoca eregi()
trudne nie, ale potrzebowałem dowiedzieć się jakie znaczniki mogą by niebezpieczne dla mojej strony...
a czego sie tu dowiadywac znaczniki script i wszystkie zdarzenia js 
przez znacznik img też można się włamać, ale to już wyższa technologia <roftl>
tak zapomnialem atak sie nazywa CSRF czy jakos tak
@jang: jestem ci wdzięczny do końca życia za ten link
Cała przyjemność po mojej stronie 
proszę o przetestowanie i próbę zhackowania (i opisanie tutaj w jaki sposób zostało zhackowane)...
http://firex.ugu.pl/
http://firex.ugu.pl/
wpisalem sobie:
Zgadnij jaki byl efekt
Kod
<a href="javascript:alert('No i cie shakowalem');">nic hakującego</a>
Zgadnij jaki byl efekt
A ja Ci "wyczyściłem" okno
ok, dodałem obcinanie
próbujcie dalej
Kod
javascript:.*
oraz
style=".*"
oraz
style=".*"
próbujcie dalej
Nie chcialo mi sie wysilac wiec skopiowalem powyzszy fragment "kodu" i zmienilem jedna literke i zgadnij co
<a href="java script:alert('No i cie shakowalem');">nic hakującego</a>
EDIT: Jako, ze uparcie forum zamienia mi javascriPt na javascript to po prostu wystarczy zmienic jedna literke w "komendach js" na duza i juz mamy dzialajace js.
i zgadnij co <a href="java script:alert('No i cie shakowalem');">nic hakującego</a>
EDIT: Jako, ze uparcie forum zamienia mi javascriPt na javascript to po prostu wystarczy zmienic jedna literke w "komendach js" na duza i juz mamy dzialajace js.
ten kod nic nie robi ze stroną - nie hackuje.
To co to jest hacking tej strony? Ja wkleilem ten kod, zmienilem literke z malego p na duze P i wyswietlilo mi link z dzialajacym java scriptem... to nie jest hack?
poprawione, nie przeczytałem wcześniej twojego edita...
następny prosze...
<p onclick = "alert(1)">fds</p>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC="jav ascript:alert('XSS');">
<IMG SRC="jav	ascript:alert('XSS');">
i inne :-)
<IMG SRC=javascript:alert('XSS')>
<IMG SRC="jav ascript:alert('XSS');">
<IMG SRC="jav	ascript:alert('XSS');">
i inne :-)
Cytat(firex @ 7.11.2007, 16:24:39 ) 
następny prosze...
Jeśli sam nie wiesz w jaki sposób można obejść Twoje "zabezpieczenia" to może wróc do roli "grafika" w innyportal.cba bo na razie to poprawiasz tylko to, co zostało zgłoszone. A może nie wszystko zostało zgłoszone?...
EDIT:
już przestaje mnie bawić odwalanie roli testera więc na koniec coś specjalnego, taka wisieńka na torciku:
okrutna ta wisieńka...
http://namb.la/popular/tech.html
Fajny artykul o tym jak gosciu wlamal sie na myspace przy uzyciu JS, ofcoz z pomoca IE i jego nieprawdopodobnej ilosci sposobow dodania JS do tagow. Mozna sie wiele nauczyc jesli chodzi o obrone przed takim czyms.
Fajny artykul o tym jak gosciu wlamal sie na myspace przy uzyciu JS, ofcoz z pomoca IE i jego nieprawdopodobnej ilosci sposobow dodania JS do tagow. Mozna sie wiele nauczyc jesli chodzi o obrone przed takim czyms.
dzięki Blodo, przyda się.
Właściwie to obiegliśmy od tematu, bo mnie interesuje tylko zabezpieczenie serwisu, a to, że ktoś mi wyczyści stronę to mnie nie obchodzi, bo każdy użytkownik będzie "dostawał" swoje id, które będzie przekazane w GET do skryptu i zapisze wygenerowany formularz do danego pliku podglądu. Więc np.wyświetlając 1000 razy alert'a wyświetlając wielką białą warstwę... sam sobie szkodzi, bo tylko on będzie widział daną stronę podglądu.
Właściwie to obiegliśmy od tematu, bo mnie interesuje tylko zabezpieczenie serwisu, a to, że ktoś mi wyczyści stronę to mnie nie obchodzi, bo każdy użytkownik będzie "dostawał" swoje id, które będzie przekazane w GET do skryptu i zapisze wygenerowany formularz do danego pliku podglądu. Więc np.
Zdaje się że w ogóle nie rozumiesz istoty przykładów z użyciem alert-a.
Ludzie tutaj pokazują ci że można użyć JavaScript-u. Funkcja alert() sama w sobie jest w zasadzie nieszkodliwa.
Pogłówkuj jaki inny kod możesz wstawić ZAMIAST funkcji alert.
Zresztą zdaje się że phpion już naświetlił wystarczająco sprawę swoim przykładem,
a to nie najgorsze co może spotkać osobę która wejdzie na taką stronę.
Najbezpieczniejsza metoda to wywalać wszystkie tagi i używać BBCODE.
Ewentualnie możesz najpierw pobierać tagi na które zezwalasz, a usuwać pozostałe preg_match_all() i preg_replace().
Ludzie tutaj pokazują ci że można użyć JavaScript-u. Funkcja alert() sama w sobie jest w zasadzie nieszkodliwa.
Pogłówkuj jaki inny kod możesz wstawić ZAMIAST funkcji alert.
Zresztą zdaje się że phpion już naświetlił wystarczająco sprawę swoim przykładem,
a to nie najgorsze co może spotkać osobę która wejdzie na taką stronę.
Najbezpieczniejsza metoda to wywalać wszystkie tagi i używać BBCODE.
Ewentualnie możesz najpierw pobierać tagi na które zezwalasz, a usuwać pozostałe preg_match_all() i preg_replace().
Nie żebym marudny był ale po to chyba właśnie wymyślono bbcode żeby się chronić.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.