/
  • اضافه کردن به آدرس سایت

  • ارسال پاسخ   امتیاز موضوع:
    • 1 رأی - میانگین امیتازات: 4
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی اضافه کردن به آدرس سایت
    نویسنده پیام
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #1
    اضافه کردن به آدرس سایت
    سلام من سایت من اینجوری آدرس دهی میکنه
    کد PHP:
    http://www.mysite.ir/myuser/comment.php?win=1&id=-335 
    اما حالا یه نفر اومده اینجوریش کرده
    کد PHP:
    http://www.mysite.ir/myuser/comments.php?win=1&id=-335%20union%20all%20select%201,2,username,4,5,6,pass%20from%20login 
    و اطلاعاتی رو نوشته که اصلا تو دیتابیس ثبت نشده .چه جوری پاکش کنم .چه جوری میشه جلو این حملات رو گرفت
    __________________________________________________________________________
    welcome to the club
    (آخرین ویرایش در این ارسال: ۱۳۸۷ بهمن ۲۲ ۰۷:۳۶ عصر، توسط scooter.)
    ۱۳۸۷ دي ۲۹ ۰۱:۵۵ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    molana آفلاین
    چالیست - chalist
    *******

    ارسال‌ها: 1,772
    تاریخ عضویت: ۱۳۸۷ آذر ۳۰
    اعتبار: 60
    تشکرها : 1644
    ( 1550 تشکر در 1015 ارسال )
    ارسال: #2
    RE: اضافه کردن به آدرس سایت
    به این جور حملات می گن حملات XSS

    php-fusion از این کد برای جلوگیری از این حملا استفاده می کنه :
    کد PHP:
    foreach ($_GET as $check_url) {
        
    $check_url str_replace("\""""$check_url);
        if ((
    eregi("<[^>]*script*\"?[^>]*>"$check_url)) || (eregi("<[^>]*object*\"?[^>]*>"$check_url)) ||
            (
    eregi("<[^>]*iframe*\"?[^>]*>"$check_url)) || (eregi("<[^>]*applet*\"?[^>]*>"$check_url)) ||
            (
    eregi("<[^>]*meta*\"?[^>]*>"$check_url)) || (eregi("<[^>]*style*\"?[^>]*>"$check_url)) ||
            (
    eregi("<[^>]*form*\"?[^>]*>"$check_url)) || (eregi("\([^>]*\"?[^)]*\)"$check_url)) ||
            (
    eregi("\""$check_url))) {
        die ();
        }
    }
    unset(
    $check_url); 
    __________________________________________________________________________
    همه جوره اش رو داریم ظاهرن
    ۱۳۸۷ دي ۲۹ ۱۲:۰۳ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : scooter yaqubian
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #3
    RE: اضافه کردن به آدرس سایت
    سلام .الان مثلا یک نفر اومده این رو اضافه کرده

    http://www.ravedesk.ir/user/view/vvvvvvvvvv
    ایا این هم همون xssهست. و مطلب دیگه اینکه وقتی این رو واردش بشی می ره به صفحه اصلی.ایا به نظرت این یه باگه؟
    -----------------------------------------------------------------------------------------------------------------------------
    دیشب php-fusion رو دان کردم و این کد رو دیدم .اما نفهمیدم این $check_url چیه و کجا تعریف شده
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ دي ۳۰ ۰۳:۵۳ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #4
    RE: اضافه کردن به آدرس سایت
    دوستان کسی نیست جواب بده به ما
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲ ۰۱:۰۱ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    admin آفلاین
    وحید سهرابلو
    **********

    ارسال‌ها: 5,734
    تاریخ عضویت: ۱۳۸۷ آذر ۲۴
    اعتبار: 100
    تشکرها : 1360
    ( 6194 تشکر در 3437 ارسال )
    ارسال: #5
    RE: اضافه کردن به آدرس سایت
    xss که نیست. شاید کسی خواسته تست کنه. اباگ هم نمیشه گفت هست. آیا به نظر شما اتفاقی خارج از ایده شما افتاده که باگ باشه؟
    ۱۳۸۷ بهمن ۲ ۰۹:۱۸ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #6
    RE: اضافه کردن به آدرس سایت
    نه ولی به جای اینکه ارور 405 یا 404 بده میره به صفحه اصلی
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲ ۱۰:۴۷ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    admin آفلاین
    وحید سهرابلو
    **********

    ارسال‌ها: 5,734
    تاریخ عضویت: ۱۳۸۷ آذر ۲۴
    اعتبار: 100
    تشکرها : 1360
    ( 6194 تشکر در 3437 ارسال )
    ارسال: #7
    RE: اضافه کردن به آدرس سایت
    به نظر من این که خیلی خوب هست
    مثلا سایت http://360.hoodad.com شما هر چی بزنید اشتباه بزنید میره صفحه اصلی
    ۱۳۸۷ بهمن ۳ ۱۱:۴۲ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    salam_ali آفلاین
    عضو جدید
    **

    ارسال‌ها: 43
    تاریخ عضویت: ۱۳۸۷ بهمن ۳۰
    اعتبار: 1
    تشکرها : 20
    ( 3 تشکر در 3 ارسال )
    ارسال: #8
    RE: اضافه کردن به آدرس سایت
    این اولین پست منه ، البته من نه سواد زیادی در پی اچ پی ندارم و نه ادعایی ...
    در مورد موضوعی که دوستمون scooter اعلام کردن شاید بشه گفت که اگر id هایی که برای آدرس دهی استفاده می کنیم فقط نوع عددی قابل اجرا باشن بهتره ...
    مثلا id ها رو + 0 بگیریم !!!
    اگر اشتباه گفتم حتما تصحیح کنید.
    ۱۳۸۷ اسفند ۱ ۰۱:۰۰ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : molana
    amir.s آفلاین
    عضو
    ***

    ارسال‌ها: 148
    تاریخ عضویت: ۱۳۸۷ دي ۱
    اعتبار: 3
    تشکرها : 453
    ( 186 تشکر در 99 ارسال )
    ارسال: #9
    RE: اضافه کردن به آدرس سایت
    سلام

    XSS در واقع حملات Cross Site Scripting هست . برای اینکه با CSS اشتباه گرفته نشه به اون XSS گفته میشه . در این نوع حملات معمولا Scriptهای سمت کلاینت مثل جاوااسکریپت تزریق میشه که می تونه اطلاعات کوکی کاربر رو فاش کنه و ... ( یه سرچ بکنید Big Grin )

    راه های مقابله هم در PHP خیلی سادست . فقط کافیه از تابعی که بچه ها درانجمن نوشتن استفاده کنید . در واقع تابع اصلی که در بیشتر مقالات گفته شده ، تابع htmlspecialchars هست. ( در این مورد هم در manual .. )

    اما چیزی که شما نوشتید به نظر SQL injection میاد . داره نام کاربری و پسورد رو از جدول لاگین می پرسه !
    دوتا کار ساده میشه انجام داد :

    ورودی رو با یه تابع جامع ( مثل همین که بچه های امنیت نوشتن تو انجمن ) فیلتر کنی . البته به صورت تک تک هم می تونی Big Grin که هم با SQL injection و هم XSS و ... مقابله کنی .

    دومین کار هم در مورد همین نحوه صدا زدن صفحات ، ابتدا ورودی ID رو داده ای از نوع Integer قرار بده و اگه نبود ادامه نده ... و صفحه اصلی رو لود کن . اگر هم Integer بود بعد از بررسی های لازم از دیتابیس اطلاعات رو بگیر ...
    ۱۳۸۷ اسفند ۱ ۱۲:۰۶ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : admin scooter
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS