Агентство Телевидения Новости



Текущее время: Пт, 28.07.17 10:55:39

Часовой пояс: UTC + 2 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: отправка комментария с главной
СообщениеДобавлено: Ср, 24.12.08 13:42:32 
Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.


Последний раз редактировалось user_18226 Ср, 24.12.08 16:16:59, всего редактировалось 1 раз.

Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 14:15:15 
Но JS фильтруется, это уже хорошо ... :!!)):


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 14:53:53 
Нет JS таки не экранируется!
http://atn.kharkov.ua/forum/viewtopic.php?p=79495


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 15:16:44 
htmlspecialchars() - этой функции будет вполне достаточно для фильтрования тэгов, также рекомендую проверить как происходит вставка текстовых полей в таблицу через окно комментариев на сайте, если там ни чего нет, то добавьте функцию addslashes() перед вставкой в таблицу.


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 16:16:27 
Кстати заметил ещё одну вещь: текст, идущий в форуме как "просто текст" при попадании на главную понимается как html-разметка.
Видно в той же ветке про ЖД:
  • Второе сообщение: я пытаюсь вставить текст ссылки прямо со страницы новости: в результате на странице новости это просто текст, на странице форума - гиперссылка.
  • Третье сообщнеие: я уже в форуме пытаюсь вставить текст ссылки, он успешно вставляется и отображается на форуме как текст, но на странице новости выглядит как гиперссылка
Если не совсем понятно, что я имел ввиду, поясняю: когда я вставляю текст, содержащий элементы html, я ожидаю что и на форуме и на странице новости он будет показываться как текст, а не как разметка.


Вернуться к началу
  
 
 Заголовок сообщения: Re: отправка комментария с главной
СообщениеДобавлено: Ср, 24.12.08 16:24:28 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Пт, 13.01.06 11:01:07
Сообщения: 1133
Откуда: Харьков
шкипер писал(а):
Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.


Спасибо, все замечания программисту переданы. Он посмотрит, что возможно сделать.
Все возможности по написанию и оформлению своих коментов присутствуют в форуме. Главная страница для этого мало приспособлена.


Вернуться к началу
 Профиль Отправить личное сообщение  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 16:34:09 
К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 17:26:33 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Пт, 13.01.06 11:01:07
Сообщения: 1133
Откуда: Харьков
scorpion писал(а):
К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:

Подскажите, как решили эту проблему. Можно в личку.


Вернуться к началу
 Профиль Отправить личное сообщение  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 17:58:23 
Я как сам разберусь, напишу, возможно, сегодня вечером.


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср, 24.12.08 23:44:59 
Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:
Код:
$message = htmlspecialchars($_POST['message']);

После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:
Код:
было:
<script type="application/javascript">alert('3test3');</script>
станет:
&lt;script type=&quot;application/javascript&quot;&gt;alert('3test3');&lt;/script&gt;

При выводе все браузеры их автоматически приводят к нормальному видимому тексту.


Вернуться к началу
  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт, 25.12.08 11:12:08 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Пт, 13.01.06 11:01:07
Сообщения: 1133
Откуда: Харьков
scorpion писал(а):
Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:
Код:
$message = htmlspecialchars($_POST['message']);

После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:
Код:
было:
<script type="application/javascript">alert('3test3');</script>
станет:
&lt;script type=&quot;application/javascript&quot;&gt;alert('3test3');&lt;/script&gt;

При выводе все браузеры их автоматически приводят к нормальному видимому тексту.

Спасибо - может и нам в нагоде будет.


Вернуться к началу
 Профиль Отправить личное сообщение  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 2 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB