Xss چیست؟ و راههای مقابله با آن

Printable View

نمايش 40 تاپيکها در يک صفحه

22-07-2008, 18:48
dogtag

من شرمنده ام، می دونستم که ممکنه نظرم هم رو کاملاً خوب متوجه نشیم و کدورتی پیش بیاد. به همین دلیل اولش عذرخواهی کردم.
pezhman32 جان، این تابعت خوبه ولی وقتی تابع آماده اش هست، دیگه این کار ها رو نمی خواد

به هر حال شرمنده
22-07-2008, 19:07
pezhman32

نقل قول:

نوشته شده توسط dogtag [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من شرمنده ام، می دونستم که ممکنه نظرم هم رو کاملاً خوب متوجه نشیم و کدورتی پیش بیاد. به همین دلیل اولش عذرخواهی کردم.
pezhman32 جان، این تابعت خوبه ولی وقتی تابع آماده اش هست، دیگه این کار ها رو نمی خواد

به هر حال شرمنده

ممنون عزیز نمی دونم قضیه چیه و کدورت کجاست (آیکیوم پایینه دیگه)
راستی در مورد اون تابع باید بگم که من دیده بودم خیلی از سیستم های بزرگ مثل phpbb یه همچین تابعی رو استفاده می کنن, دلیلش هم اینه که توابعی مثل htmlspecialchars همه ی علائمی رو که تابع کوچیکی که معرفی کردم رو کد نمی کنه, این بحث رو خیلی وقت پیش پیگیری کرده بودم که مثلا "]" چجوری می تونه باعث مثلا" XSS یا sql injection بشه و یادم هم نیست به چه نتیجه ای رسیدم:13::41:
به هر حال نمی دونم مشکل کجاست و اگه من تقصیری دارم در انحراف موضوع شرمنده ام
22-07-2008, 19:12
dogtag

خواهش می کنم. شرمنده ی صاحب تاپیک شدیم که انقدر منحرف شد.
ولی "]" جالب بود. اگر پیداش کردی، حتماً لطف کن و بگو. می تونه خیلی آموزنده باشه
22-07-2008, 19:24
pezhman32

نقل قول:

نوشته شده توسط dogtag [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خواهش می کنم. شرمنده ی صاحب تاپیک شدیم که انقدر منحرف شد.
ولی "]" جالب بود. اگر پیداش کردی، حتماً لطف کن و بگو. می تونه خیلی آموزنده باشه

الآن دوباره یه سرچی کردم ولی متاسفانه بیشتر مقالات موجود تو وب و کامپیوتر خودم pdf هست و منم فعلا آکروبات ریدر ندارم (دارم حس نسبش نیست!!!)
اگه بعدا پیداش کردم حتما" همینجا می گم
22-07-2008, 22:54
David.Jn

نقل قول:

نوشته شده توسط dogtag [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خواهش می کنم. شرمنده ی صاحب تاپیک شدیم که انقدر منحرف شد.
ولی "]" جالب بود. اگر پیداش کردی، حتماً لطف کن و بگو. می تونه خیلی آموزنده باشه

اول از همه این که چه عجب آقآی dogtag ،کجایی؟
کم پیدایی...
من امروز سر نزده بودم ولی انگاری تاپیک داشته درجا میزده ولی انگار داره میفته تو قلطک
ممنون از دوست عزیزمون پژمان به خاطر تابعی که گذاشته بودن

خوب علائمی که باید برای جلوگیری از Xss باید کد شوند را براتون میزارم البته این علائم تو تابع آقا پژمان هم وجود داشت ولی من خواستم اینو برای کسایی بزارم که مثل خودم زیاد با Xss آشنایی ندارن

خوب یکی از راه حل هایی که برای جلوگیری از Xss وجو داره تبدیل (encode) علائمه
الته تابعشو آقا پژمان نوشتن
این علائم را براتون آپ کردم
اینم لینکش

کد:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این علائم باید در تمامی حالتهای ورودی و Quey String ها تبدیل بشن
22-07-2008, 22:59
pezhman32

نقل قول:

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اول از همه این که چه عجب آقآی dogtag ،کجایی؟
کم پیدایی...
من امروز سر نزده بودم ولی انگاری تاپیک داشته درجا میزده ولی انگار داره میفته تو قلطک
ممنون از دوست عزیزمون پژمان به خاطر تابعی که گذاشته بودن

خوب علائمی که باید برای جلوگیری از Xss باید کد شوند را براتون میزارم البته این علائم تو تابع آقا پژمان هم وجود داشت ولی من خواستم اینو برای کسایی بزارم که مثل خودم زیاد با Xss آشنایی ندارن

خوب یکی از راه حل هایی که برای جلوگیری از Xss وجو داره تبدیل (encode) علائمه
الته تابعشو آقا پژمان نوشتن
این علائم عبارتند از:
[HTML]
Character Encoding
< < or <
> > or >
& & or &
" " or "
' ' or '
( (
) )
# #
% %
; ;
+ +
- -
[/HTML]این علائم باید در تمامی حالتهای ورودی و Quey String ها تبدیل بشن

ای بابا چه هندونه ای میزاری زیر بغل ما !!!! :دی
اگه میشه اینارو توی یه فایل txt یه جایی آپ کنید تا بهتر بتونیم استفاده کنیم, vBulletin در کد کردن باگ داره و درست نشون نمیده
ممنون
23-07-2008, 01:22
neopersia

به نظر من برای جلوگیری از نفوذ از طریق XSS اگر علامتهای < و > انکود بشه کافیه. چون این حمله از طریق اسکرپت انجام میشه و اسکرپت هم بدون تگ HTMl معنی نداره. من از این توابع برای انکرپت کردن ورودیهای برنامه استفاده میکنم:
[php]
<?php
htmlentities($string, ENT_QUOTES, 'utf-8');
htmlspecialchars($string, ENT_QUOTES, 'utf-8');
strip_tags($string);
?>
[/php]
23-07-2008, 08:20
David.Jn

نقل قول:

نوشته شده توسط neopersia [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به نظر من برای جلوگیری از نفوذ از طریق XSS اگر علامتهای < و > انکود بشه کافیه. چون این حمله از طریق اسکرپت انجام میشه و اسکرپت هم بدون تگ HTMl معنی نداره. من از این توابع برای انکرپت کردن ورودیهای برنامه استفاده میکنم:
[php]
<?php
htmlentities($string, ENT_QUOTES, 'utf-8');
htmlspecialchars($string, ENT_QUOTES, 'utf-8');
strip_tags($string);
?>
[/php]

یاسر جان چه جوری از این توابع استفاده کنیم
میشه بیشتر توضیح بدی
24-07-2008, 17:50
eAmin

نقل قول:

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یاسر جان چه جوری از این توابع استفاده کنیم
میشه بیشتر توضیح بدی

سلام.

به جونه خودم این یکی که باید خیلی تابلو باشه!

منظورم طرز استفاده ازش هست:10:
24-07-2008, 19:35
David.Jn

نقل قول:

نوشته شده توسط Amin eHelp [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام.

به جونه خودم این یکی که باید خیلی تابلو باشه!

منظورم طرز استفاده ازش هست

خیلی ممنون....
ولی منظورم من این بود که دو تابع htmlentities و htmlspecialchars تفریبآ کارشون یکیه چرا از هر دوش استفاده کرده و strip_tags هم که کارش حذف کردن یه رشته php, html هستش من فکر میکرم که شاید باید از هر سه تای اینا استفاده کرد یعنی خروجی یکی از این توابع میشه ورودی بعدیش برای همین خاطر گفتم یکم بیشتر توضیح بدن یا تو قالب یه مثال بگن.
حالا هم اگه سوالم تابلو بوده معذرت:5:

نمايش 40 تاپيکها در يک صفحه