Találatok a következő kifejezésre: XSS-tamadasokat hogy globalisan megelozni (1 db)

XSS-tamadasokat hogy lehet globalisan megelozni egy egesz oldalon?

Nem tudom jol tudom -e a nevet, de allitolag XSS-attack-nek hivjak. A tamado robot ugy okoz kart, hogy egy szabadon kitoltheto urlapmezobe (pl input text-be), javascript kodot ir be es tavolrol commit-olja az urlapot. Adott egy urlap, aminek feldolgozasat koveto oldalon (bizonyos modositasokkal) kiirjuk elkuldott szoveget, igy a javascript kod is betoltodik es lefut. Lefut es tor-zuz. Az a helyzet, hogy ilyen modszerrel ftp-muveleteket is sikerult mar valakinek vegeznie a szerverunkon. Fogta a php-kat es belejuk szurt egy adwaret.

Legjobb válasz: Hát ezt csak úgy tudod kikerülni, hogy a user által feltöltött adatokban nem engedélyezed a script szót, onClick, onChange szavakat leírni pl. vagy az összes kacsacsõrt a html kódú megfelelõjére cseréled (mondjuk ezzel a html tag-ek is ugranak, de az nem akkora baj, mert azzal is bosszúságokat lehet okozni).

Hát ezt csak úgy tudod kikerülni, hogy a user által feltöltött adatokban nem engedélyezed a script szót, onClick, onChange szavakat leírni pl. vagy az összes kacsacsõrt a html kódú megfelelõjére cseréled (mondjuk ezzel a html tag-ek is ugranak, de az nem akkora baj, mert azzal is bosszúságokat lehet okozni).
Ezek ellen csak úgy lehet védekezni, ha már programozáskor gondoltok rájuk, és úgy írjátok az oldal motorját. Egyébként a legveszélyesebb az sql beoltás. google: sql injection


Hasonló válaszok

A kérdés szövege Válaszok száma

Notepad++-ban megírt weboldalhoz CMS?

Notepad++-ban írom a weblapjaimat, html, css, javascript és szeretnék hozzá tartalomkezelő rendszert, hogy aki nem ért hozzá az is tudja szerkeszteni?
Mi lenne a megoldás? Lehetséges olyan hogy sablont nem telepítek csak admin felületet?

9

Weboldal menüpont alatti dokumentumok csak a regisztrált felhasználóknak legyenek elérhetőek. Hogyan?

Hello.

Van egy kézzel írt weboldal, nincs semmilyen CMS telepítve és szeretnék egy menüpontot, ahonnan bizonyos felhasználók (kb 10db, nem lenne regisztráció, a felhasználói adatokat előre megírnám) pdf dokumentumokat tölthetnek le. Mi erre a legegyszerűbb megoldás? Webadmint nem szeretnék erre írni... PHP kell hozzá és még?

1

Hol találom ezt a sort?

<h1><?php single_cat_title(); ?></h1> - van egy blogom, de nem tudom, hogyan lehet az ehhez hasonló sorokhoz hozzáférni.

7

Van olyan ingyene php és mysql-al bíró tárhely, amely elviseli és nem törli az e107 rendszert? Régen a 000webhosttal próbálkoztam de állandóan törölte a weblapjaim. Van valakinek jó ötlete?

3

Nagy mennyiségű adatokhoz gyors NoSQL megoldás?

Van egy adatbázisom, benne több tábla. Az egyik táblában van 4 millió rekordom, a másik pedig ehhez tartalmaz logokat, így az egy 40 milliós tábla. Persze vannak még kapcsolótáblák, ezekhez joinolni kell etecera etecera a lényeg, hogy borzalmas mennyiségű adatról van szó a végére. A lényeg a lényeg, hogy mysql hiába van szénné indexelve elég lassan szolgálja már ki a dolgot, ráadásul ami szörnyűvé és cachelhetetlenné teszi az egészet, hogy sajnos kb MINDENRE lehet szűrni, sorrendezni, stb :(

Gondolkodtam mindenféle NoSQL megoldáson, de egyelőre nem látom, hogy melyik lenne az amelyik jelentős gyorsulást hozhatna főleg úgy, hogy meg kell tartani a mindenre szűrés & rendezés módszerét, ráadásul külön listázni kell tudni mondjuk csak a kapcsolódó kommenteket.

(Kérek mindenkit, hogy maradjunk a NoSQL gyorsulást hozhat-e vonalnál és ne a MySQL optimalizációról legyen szó, a táblák refaktorálása nem jöhet szóba, és törölni sem lehet adatokat sem áthelyezni máshova mert sajnos folyamatos használatban vannak és valamiért mindre szükség van, illetve mindent elkövettem már a gyorsítás érdekében amit csak lehet. Most mindössze a mysql altrnatívák megvitatása a lényeg :) (Ja, és nem, a postgresql nem sem megoldás, sajnos tesztelve pedig sokan dícsérik...)

3

Tudtok olyan oldalt ami ingyenes domain-t biztosít?

Olyan kellene mint régen a try.hu , vagyis van egy weboldalam aminek a weboldal címe nem a legszebb.

tehát pl: www.abl4kok.weboldala.net régen beregisztráltam a try.hu-ra és átírtam www.cool-jatek.try.hu -ra mondjuk , egy olyan oldalt ami játékokról szól, és a www.abl4kok.weboldala.net-et azt sehová sem írta ki...

7

Hol a hiba ebben a kódban?

A hiba: A "footer" boxból csak a felső bordert jeleníti meg, és a "copyright block" boxot rögtön besorolja a footer felső bordere - és a "place" html kódok - alá.
------
HTML:
<div id="footer">
<div id="footer-group">

<div id="place">
<h3>XXXXX</h3>
<ul>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
</ul>
</div>
<div id="place">
<h3>XXXXX</h3>
<ul>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
<li><a href="">XXXXX</a></li>
</ul>
</div>
<div id="place">
<h3>XXXXX</h3>
<ul>
<li>XXXXX</li>
<li>XXXXX</li>
<li>XXXXX</li>
<li>XXXXX</li>
</ul>
</div>

</div>
<div id="copyright-block">
<div id="copyright">
<a href="">XXXXXX | XXXXXX | XXXXXX
</div>
</div>
</div>
------

3

Várotermet, hogyan tehetek weboldalamra?

Van lehetőség kép feltöltésre ami a FTP szerver tmp/upload files mappájába megy, azt, hogy csinálhatom meg, hogy az abban lévő képeket megmutassa az oldalamon?

1

Html weboldalamra?

hogy lehet hogy a websablonom egy kép legyen html kód szeretném tudni ha lehet vagy ha nem akkor is előre köszönöm.

6

Melyik téma a legjobb?

http://www.tumblr.com/themes/by/heloteixeira
A kérdés adott:)

4

Ha éttermek, kávézók, bankok, okmányirodák, földhivatalok, posták, takarékszövetkezet, áruházak nyitvatartása érdekli, kattintson ide!