отправка комментария с главной
отправка комментария с главной
Не экранируется включения html-кода при отправке сообщений со страницы новостей.
На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
Последний раз редактировалось user_18226 Ср, 24.12.08 16:16:59, всего редактировалось 1 раз.
Нет JS таки не экранируется!
http://atn.kharkov.ua/forum/viewtopic.php?p=79495
http://atn.kharkov.ua/forum/viewtopic.php?p=79495
Кстати заметил ещё одну вещь: текст, идущий в форуме как "просто текст" при попадании на главную понимается как html-разметка.
Видно в той же ветке про ЖД:
Видно в той же ветке про ЖД:
- Второе сообщение: я пытаюсь вставить текст ссылки прямо со страницы новости: в результате на странице новости это просто текст, на странице форума - гиперссылка.
- Третье сообщнеие: я уже в форуме пытаюсь вставить текст ссылки, он успешно вставляется и отображается на форуме как текст, но на странице новости выглядит как гиперссылка
- Alla
- Site Admin
- Сообщения: 1133
- Зарегистрирован: Пт, 13.01.06 11:01:07
- Откуда: Харьков
- Контактная информация:
Re: отправка комментария с главной
Спасибо, все замечания программисту переданы. Он посмотрит, что возможно сделать.шкипер писал(а):Не экранируется включения html-кода при отправке сообщений со страницы новостей.
На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
Все возможности по написанию и оформлению своих коментов присутствуют в форуме. Главная страница для этого мало приспособлена.
- Alla
- Site Admin
- Сообщения: 1133
- Зарегистрирован: Пт, 13.01.06 11:01:07
- Откуда: Харьков
- Контактная информация:
Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars
Пример:
После этого все введенные тэги HTML будут преобразовываться, в сущности.
Пример:
При выводе все браузеры их автоматически приводят к нормальному видимому тексту.
Пример:
Код: Выделить всё
$message = htmlspecialchars($_POST['message']);
Пример:
Код: Выделить всё
было:
<script type="application/javascript">alert('3test3');</script>
станет:
<script type="application/javascript">alert('3test3');</script>
- Alla
- Site Admin
- Сообщения: 1133
- Зарегистрирован: Пт, 13.01.06 11:01:07
- Откуда: Харьков
- Контактная информация:
Спасибо - может и нам в нагоде будет.scorpion писал(а):Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars
Пример:После этого все введенные тэги HTML будут преобразовываться, в сущности.Код: Выделить всё
$message = htmlspecialchars($_POST['message']);
Пример:При выводе все браузеры их автоматически приводят к нормальному видимому тексту.Код: Выделить всё
было: <script type="application/javascript">alert('3test3');</script> станет: <script type="application/javascript">alert('3test3');</script>
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 7 гостей