-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Защита форума от javascript/vbscript
- Автор темы Zanzibar
- Дата начала
diamond_krnl
pure-php
регулярками проверять валидность урл до картинки.
посмотри как сделанно в phpbb, v bulletin...etc/
посмотри как сделанно в phpbb, v bulletin...etc/
vd
Новичок
Тебе могут подсунуть валидную картинку (если можно давать ссылки на картинки с внешних ресурсов) а потом через неделю вместо картинки - будет подгружаться скрипт
А фильтры нужно продумывать. В 95% случаев, если запретить подгружать картинки из сети проблемы можно избежать.
Запрещать картинки - не выход
А фильтры нужно продумывать. В 95% случаев, если запретить подгружать картинки из сети проблемы можно избежать.
Запрещать картинки - не выход
vd
Новичок
Право же - нет
Наверняка Вы слышали про XSS Так вот вы даете ссылку на картинку, которую собственно выдает скрипт php-й. А в один прекрасный момент вместо картинки возвращается javascript-код(это конечно если картинки каждый раз загружаются с удаленного ресурса - но я об этом упоминал). Большого вреда не принесет Сервер завалит, может быть
И мне интересно Ваше удивление... Если хотите кину ссылку на различные пути проведения XSS атак.
bkonst
.. хочется странного?...
Ок. Представим себе ситуацию: есть ссылка на картинку, например
<img src="http://evil.hacker.com/picture.gif">. Демонстрацию XSS, основанного на выдаче Javascriptа вместо картинки, можно?
Худший вариант - редирект пользователя на "управляющий" URL, принимающий параметры через GET (a-la http://victim.com/delete.php?id=everything). Блокируется - элементарно. И к скриптам не относится.
<img src="http://evil.hacker.com/picture.gif">. Демонстрацию XSS, основанного на выдаче Javascriptа вместо картинки, можно?
Худший вариант - редирект пользователя на "управляющий" URL, принимающий параметры через GET (a-la http://victim.com/delete.php?id=everything). Блокируется - элементарно. И к скриптам не относится.
vd
Новичок
А теперь представьте - у Вас на форуме некий посетитель сделал 250 сообщений. У каждого из этих сообщений - аватар. Затем вместо рисунка на сервер загружается яваскрипт. Например, просто выполняющий бесконечный цикл. И у всех посетителей форума будет вываливаться сообщение - "на странице скрипт, тормозящий систему!" - это ли не прелесть
А если еще на каждой итерации создавать глобальный массив по 1000 элементов - то памяти на много не хватит. Это конечно, на сервер особенно не повлияет - но работу форума остановит. Но ведь есть у javascript и другие возможности...
crocodile2u
http://vbolshov.org.ru
vd
перестань уже пургу гнать.
BeGe
ты вообще, похоже, не врубаешься, о чем речь.
перестань уже пургу гнать.
BeGe
ты вообще, похоже, не врубаешься, о чем речь.
vd
Новичок
Ладно распишу подробно:
Вы в качесве аватара даете ссылку на файл php: http://site/image.php. Этот файл, охраняя информацию о запросе, выводит заголовок с Content-type: image/jpeg и собственно файл изображения.
Сдесь уже предусмотрена одна фишка - сбор статистики.
Но ладно спустя определенное время сервер выдает 301 moved c location на какую-то страницу использующую дырки или с URL типа ”javascript:alert(document.cooke)”.
......
Нашел статью на security lab-е. Все заинтересованные могут почитать.http://www.securitylab.ru/contest/212115.php
crocodile2u
http://vbolshov.org.ru
vd
Однако, ты упорный... но тупой - донельзя. ГДЕ В ЭТОЙ СТАТЬЕ хоть слово о картинках, которые выполняют Java-Script'ы ???
Однако, ты упорный... но тупой - донельзя. ГДЕ В ЭТОЙ СТАТЬЕ хоть слово о картинках, которые выполняют Java-Script'ы ???
crocodile2u
http://vbolshov.org.ru
vd
Для кого актуальную?
Для кого актуальную?