Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / (PHP) XSS фильтрация / 6 сообщений из 6, страница 1 из 1
10.03.2006, 23:14:32
    #33594009
Dipish
Dipish
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
Извиняюсь если было, но у меня есть и вполне конкретный вопрос. Столкнулся с необходимостью фильтрации пользовательского ввода, стал тестировать на всякие "неприятные" вставки, и никак не получается выловить вот эту ;-(
Код: plaintext
<IMG STYLE="xss:expr%af_src_comm_0ession(alert('XSS'))">
Это пашет только в ИЕ...
И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">
Если нет, то как вообще запретить ссылки на скрипты?
Большое спасибо за отзывчивость!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.03.2006, 00:28:06
    #33594037
VERS
VERS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
Dipish И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">

А что может плохого сделать этот скрипт в соурсе картинки?))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.03.2006, 12:28:43
    #33594303
-.-.-.-.-.-
-.-.-.-.-.-
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
1. ссылки на скрипты запретить нельзя.
2. посмотри pear.php.net/HTML_Safe - там вроде была защита от похожего
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.03.2006, 17:26:35
    #33595040
Dipish
Dipish
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
VERS Dipish И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">

А что может плохого сделать этот скрипт в соурсе картинки?))
А что, разве нет возможности выполнить "вредоносный" скрипт если он в соурсе картинки? Ведь он выполнится!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.03.2006, 20:28:33
    #33595174
VERS
VERS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
DipishА что, разве нет возможности выполнить "вредоносный" скрипт если он в соурсе картинки? Ведь он выполнится!
Если бы это было возможно, ни на одном форуме вы бы не увидели кнопку "вставить рисунок" и т.п.
Если в соурсе картинки не бинарные данные, браузер просто не сможет отобразить рисунок и не более.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.03.2006, 18:22:34
    #33597726
Dipish
Dipish
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
(PHP) XSS фильтрация
Извиняюсь, лоханулся! Просто я думал что на всех форумах всякие такие проверки делают у картинок...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / (PHP) XSS фильтрация / 6 сообщений из 6, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 655ms
Закрыть
start [/forum/topic.php?fid=23&tablet=1&tid=1476582]:
 0ms
get settings:
 8ms
get forum list:
 10ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 378ms
get topic data:
 6ms
get forum data:
 1ms
get page messages:
 24ms
get tp. blocked users:
 1ms
others: 223ms
total:  655ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]