Találatok a következő kifejezésre: XSS-tamadasokat hogy globalisan megelozni egy egesz oldalon (1 db)

XSS-tamadasokat hogy lehet globalisan megelozni egy egesz oldalon?

Nem tudom jol tudom -e a nevet, de allitolag XSS-attack-nek hivjak. A tamado robot ugy okoz kart, hogy egy szabadon kitoltheto urlapmezobe (pl input text-be), javascript kodot ir be es tavolrol commit-olja az urlapot. Adott egy urlap, aminek feldolgozasat koveto oldalon (bizonyos modositasokkal) kiirjuk elkuldott szoveget, igy a javascript kod is betoltodik es lefut. Lefut es tor-zuz. Az a helyzet, hogy ilyen modszerrel ftp-muveleteket is sikerult mar valakinek vegeznie a szerverunkon. Fogta a php-kat es belejuk szurt egy adwaret.

Legjobb válasz: Hát ezt csak úgy tudod kikerülni, hogy a user által feltöltött adatokban nem engedélyezed a script szót, onClick, onChange szavakat leírni pl. vagy az összes kacsacsõrt a html kódú megfelelõjére cseréled (mondjuk ezzel a html tag-ek is ugranak, de az nem akkora baj, mert azzal is bosszúságokat lehet okozni).

Hát ezt csak úgy tudod kikerülni, hogy a user által feltöltött adatokban nem engedélyezed a script szót, onClick, onChange szavakat leírni pl. vagy az összes kacsacsõrt a html kódú megfelelõjére cseréled (mondjuk ezzel a html tag-ek is ugranak, de az nem akkora baj, mert azzal is bosszúságokat lehet okozni).
Ezek ellen csak úgy lehet védekezni, ha már programozáskor gondoltok rájuk, és úgy írjátok az oldal motorját. Egyébként a legveszélyesebb az sql beoltás. google: sql injection


Hasonló válaszok

A kérdés szövege Válaszok száma

E-mail küldés weblapról hiba, valaki segíteni esetleg?

Van egy e-mail küldő PHP-m amit HTML-be ágyaztam be. Feltöltöttem weblapra, a céges e-mail címemre elküldi, de gmail.com-ra, vagy outlook.com-ra nem. Az miért lehet? Nem értem... Még a levélszemét között sincs és késve sem jön megy egyáltalán. Viszont a cégesre azonnal elküldi. Lehet az, hogy .atw-s oldalon van és ott nem támogatnak valamit? Tehát, ha feltöltöm rendes fizetős domainre akkor fog működni?

2

Egy honlap "Médiaajánlat" részéhet mi kerülhet?

2

Hogy lehet eltárolni az aktuális időt php-ban?

Arra lenne szükségem, hogy egy komment írásakor, az aktuális időt betegye a php egy változóba amit a weboldal a kommentel együtt kiír. Tehát, hogy mikor lett írva a komment...
Eddig sehogy sem sikerült elérnem a várt eredményt, mert ha pl. ezt írom -> $datum_most = date("Y.m.d.H:i:s", time());
és a $datum_most változót tárolom a kommentnél, akkor minden frissítésnél változni fog a dátum, attól függően, hogy mennyi az idő.

3

Div-et attetszove?

a div alatt van egy hatterkep es azt szeretnem ha latszana kicsit. eddig ilyen:
div
{
background:#684D90
trancparency:0.4;
}
ezzel az a gond, hogy nem csak a hatteret, hanem a szoveget is attlatszova teszi. de hogy oldjam, meg, h csak a hatterszint?

6

Hogyan oldjam meg a valtozo IP problemat?

Xampp al szerettem volna egy szervert kesziteni,de nem nagyon mukodik mivel minden ujraindittas/ujracsatlakozasnal mas az ip m.A szolgaltatot felhivtam,de ok azt mondtak nem cserelik ki.Esetleg van valami modja,hogy en fix(statikus) IP t csinaljak magamnak??hogy mukodjon a xampp szerver.

8

Miért nem változik meg a kép a kíirásban a kép amikor sikeres a feltöltés és még a címen az a kép érhető el?

kommentben a kód:

7

Ti kerültetek már hasonló helyzetbe? (Problémás munka és ügyfél. )

Kértek tőlem árajánlatot egy munkára. (webdesign, programozás..)
Az elején próbáltam meghatározni hogy mennyi munka van vele, kb. mikorra tud elkészülni, és ennek megfelelően adtam rá egy árajánlatot. (Egy kb. munkaórát szoroztam fel forintba ).

Viszont! Kiderült, hogy az "ügy" (és az ügyfél) SOKKAL macerásabb, mint az elején azt gondolni lehetett!

A lényeg hogy már vagy 3-4 X annyi időt foglalkoztam a dologgal, mint ahogy eredetileg terveztem! És még most sincs vége.. Fogalmam sincs hogy meddig tart még... :(

Csak megy, megy az értékes munkaóra...De már most kész ráfizetés az egész...

Nálatok előfordult már hasonló? Mit lehet ilyenkor tenni?

Tapasztalataitokat, ötleteiteket előre is köszönöm!

3

Hogyan tudnám megnézni, hogy ki járt a weboldalamon?

Van egy számláló ami kiirja, hogy hnyan jártak ott, de én Ip-et szeretnék. Hogy honnan jártak nálam. Tudna valaki segiteni?

2

.hu domain átirányítás 000webhost tárhelyre?

Sziasztok ! Van egy .hu domain-em, viszont nem tudom átirányítani a 000 webhost-os tárhelyemre. Megadtam az IP címeket, és az error oldalt hozza be a 000.

2

Érdemes folytatni ezt a blogot?

Bár még csak pár napja, hogy elkezdtem írni de érdekelne a Véleményetek, elfogadok bármilyen építőjellegű kritikát.:)Köszi

6

Ha éttermek, kávézók, bankok, okmányirodák, földhivatalok, posták, takarékszövetkezet, áruházak nyitvatartása érdekli, kattintson ide!