Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: [XSS] Podatność komentarzy/postów

  1. #1

    Domyślnie [XSS] Podatność komentarzy/postów

    Pytanie dotyczy podatności na ataki XSS komentarzy/postów na forum/wpisów w księgach. Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?

  2. #2
    Zarejestrowany
    Apr 2008
    Postów
    348

    Domyślnie

    Cytat Napisał Vel Zobacz post
    Pytanie dotyczy podatności na ataki XSS komentarzy/postów na forum/wpisów w księgach. Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?
    nie rozumiem tego 2-giego zdania-jasniej wyjasnij...

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał Vel Zobacz post
    Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?
    Nie tylko po obsludze HTML - ta moze byc filtrowana albo zezwalac tylko na pewne tagi.

    Cytat Napisał Vel Zobacz post
    Czy podatność np. w komentarzach wyznacza się tylko po obsłudze HTML w nich i po podatności strony?
    Tego wiekszymi literami tez nie kumam
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4

    Domyślnie

    Powiedzmy, że znalazłem pewną stronę podatną na XSS, gdzie błąd standardowo znajdował się w szukajce.
    Następnie chciałem umieścić kod XSS np. w komentarzach albo na forum tejżę strony, ale tam już kod nie został zainterpretowany.
    Więc pytam się po czym mogę stwierdzić iż komentarze/posty etc. są podatne na np. XSS?

  5. #5
    Zarejestrowany
    Jan 2008
    Postów
    278

    Domyślnie

    Jak sprawdzić ? Wydaje mi się że tak samo jak z szukajką. Z tym że na forum(jeżeli jest instalowane|typu phpBB by przemo) to raczej nie znajdziesz tam XSS


    Pozdrawiam VLN.
    Kod php:
    $zmienna $_POST['COS']; 
    Zamiast tego :
    Kod php:
    $zmienna htmlspecialchars($_POST['COS']); 
    I mamy zabezpieczenie przed XSS

  6. #6
    Zarejestrowany
    Apr 2008
    Postów
    348

    Domyślnie

    Cytat Napisał Vel Zobacz post
    Powiedzmy, że znalazłem pewną stronę podatną na XSS, gdzie błąd standardowo znajdował się w szukajce.
    Następnie chciałem umieścić kod XSS np. w komentarzach albo na forum tejżę strony, ale tam już kod nie został zainterpretowany.
    Więc pytam się po czym mogę stwierdzić iż komentarze/posty etc. są podatne na np. XSS?
    ja ci powiem tak:kady formularz moze byc intepretowany inaczej:jeden dobrze drugi zle...i nie mow o podatnosci strony tylko konkretnego miejsca...a post ma tylko tyle wspolnego z szukaj ze sa przeszukiwane slowa kluczowe(nic wiecej)wiec jak jest dobrze obslugiwane to nic sie nie stanie(lecz sa obejscia czasem)...

  7. #7
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    z tego co pamietam w którymś PHPBB by Przemo był błąd właśnie w szukajce z XSS ( szukajka puszczała tagi i wyświetlała szukana frazę :) )

    Wracając do tematu bardzo nie wiem o co chodzi :)
    Domyślając się masz stronę w której jest błąd w szukajce ? tak ? po czym to poznałeś ? i skoro wiesz ze jest to po co ci jeszcze w postach ? :D

    Po czym poznać ze strona jest podatna?
    Jeśli wpuszcza i wypuszcza złośliwy kod to jest podatna i tyle ;) ( no jeszcze trzeba wsiąść pod uwagę czy przeglądarka klienta kod wykona :) )

    Sprecyzuj pytanie - dostaniesz precyzyjniejszą odpowiedz ;)
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  8. #8

    Domyślnie

    po czym to poznałeś ?
    Na przyład po wyświetleniu moich cookie albo nawet po zwykłym <b>, <u> itp. Ale już div style z position absolute nie czyta

    i skoro wiesz ze jest to po co ci jeszcze w postach
    Oczywiście chodzi mi o osadzenie kodu na stałe na stronie, dzięki szukajcie nie uzyskam tego.

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał Vel Zobacz post
    Na przyład po wyświetleniu moich cookie albo nawet po zwykłym <b>, <u> itp. Ale już div style z position absolute nie czyta
    To logika mowi, ze HTML jest dopuszczony ale tylko okreslone znaczniki - filtrowanie TAGow jest robione najwidoczniej...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    pewnie wyciupane jakimś strip_tags()

    ciekawe czy admin dodał coś w stylu strip_tags_attributes() jak nie to jesteś na swoim daj jakieś onMouseOver czy coś w tym stylu napisz jakiś text w stylu uwaga i coś co zaciekawi admina ale tekstu musi troche być pewnie bedzie sobie pomaał czytać kursorem i ciacho twoje
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Problem z pisaniem/edytowaniem postów...
    By Eragon Argetlam in forum Problemy/Skargi
    Odpowiedzi: 14
    Autor: 11-01-2011, 15:12
  2. Podatność mysql??
    By R3mal in forum Hacking
    Odpowiedzi: 2
    Autor: 03-16-2008, 21:59
  3. Xss
    By GSG-9 in forum Hacking
    Odpowiedzi: 2
    Autor: 11-20-2007, 16:27
  4. XSS-hackme
    By vegh in forum Security
    Odpowiedzi: 0
    Autor: 03-29-2007, 02:40
  5. Kasowanie komentarzy w aktualnościach
    By [S.e.M.e.N] in forum Problemy/Skargi
    Odpowiedzi: 2
    Autor: 10-11-2006, 13:55

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj