Pytanie dotyczy podatności na ataki XSS komentarzy/postów na forum/wpisów w księgach. Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?
[XSS] Podatność komentarzy/postów
Pytanie dotyczy podatności na ataki XSS komentarzy/postów na forum/wpisów w księgach. Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?
Ciasno tu:D
nie rozumiem tego 2-giego zdania-jasniej wyjasnij...Napisał Vel
Nie tylko po obsludze HTML - ta moze byc filtrowana albo zezwalac tylko na pewne tagi.
Tego wiekszymi literami tez nie kumam
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Powiedzmy, że znalazłem pewną stronę podatną na XSS, gdzie błąd standardowo znajdował się w szukajce.
Następnie chciałem umieścić kod XSS np. w komentarzach albo na forum tejżę strony, ale tam już kod nie został zainterpretowany.
Więc pytam się po czym mogę stwierdzić iż komentarze/posty etc. są podatne na np. XSS?
Banned
Jak sprawdzić ? Wydaje mi się że tak samo jak z szukajką. Z tym że na forum(jeżeli jest instalowane|typu phpBB by przemo) to raczej nie znajdziesz tam XSS
Pozdrawiam VLN.
Zamiast tego :Kod php:$zmienna = $_POST['COS'];
I mamy zabezpieczenie przed XSSKod php:$zmienna = htmlspecialchars($_POST['COS']);
Ciasno tu:D
ja ci powiem tak:kady formularz moze byc intepretowany inaczej:jeden dobrze drugi zle...i nie mow o podatnosci strony tylko konkretnego miejsca...a post ma tylko tyle wspolnego z szukaj ze sa przeszukiwane slowa kluczowe(nic wiecej)wiec jak jest dobrze obslugiwane to nic sie nie stanie(lecz sa obejscia czasem)...
Emil Grzegorz Gubała
z tego co pamietam w którymś PHPBB by Przemo był błąd właśnie w szukajce z XSS ( szukajka puszczała tagi i wyświetlała szukana frazę :) )
Wracając do tematu bardzo nie wiem o co chodzi :)
Domyślając się masz stronę w której jest błąd w szukajce ? tak ? po czym to poznałeś ? i skoro wiesz ze jest to po co ci jeszcze w postach ? :D
Po czym poznać ze strona jest podatna?
Jeśli wpuszcza i wypuszcza złośliwy kod to jest podatna i tyle ;) ( no jeszcze trzeba wsiąść pod uwagę czy przeglądarka klienta kod wykona :) )
Sprecyzuj pytanie - dostaniesz precyzyjniejszą odpowiedz ;)
Agencja reklamy kielce (mały kilkudniowy case pozycjonerski
Na przyład po wyświetleniu moich cookie albo nawet po zwykłym <b>, <u> itp. Ale już div style z position absolute nie czytapo czym to poznałeś ?
Oczywiście chodzi mi o osadzenie kodu na stałe na stronie, dzięki szukajcie nie uzyskam tego.i skoro wiesz ze jest to po co ci jeszcze w postach
To logika mowi, ze HTML jest dopuszczony ale tylko okreslone znaczniki - filtrowanie TAGow jest robione najwidoczniej...Na przyład po wyświetleniu moich cookie albo nawet po zwykłym <b>, <u> itp. Ale już div style z position absolute nie czyta
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Emil Grzegorz Gubała
pewnie wyciupane jakimś strip_tags()
ciekawe czy admin dodał coś w stylu strip_tags_attributes()
Agencja reklamy kielce (mały kilkudniowy case pozycjonerski
Zasady Postowania
Copyright © 2006-2025 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem
