Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
HTML Kodu Ekleme Engelleyicisi (Yardım)
HTML Kodu Ekleme Engelleyicisi (Yardım)
-
herkeze kolay gelsin arkadaşlar. yaptığım sitede lamerin biri ziyaretçi defterine html kodu ekleyerek sözde heykırladım(!) ayaklarından kodlar ekleyip duruyo bu kodlarda aksilik sitede aktif olarak gözüküyo editore yapacağım ilave kodlarla yada exra kodlarla bunu engellemek mümkünmü sinir oldum bütün kro lamerlerde bizi buluyo. adam bu sitenin html kodlarını yazıyo şimdiden teşekkürler.
-
ziyaretçi defterini kaldır :)
-
Dalımı kıranın ağacını kökünden sökerim :)
-
ziyaretçi defterin php ise htmlspecialchars($degisken);
şeklinde html kodlarını filtreleyebilirsin.
-
site asp sistemli yaptığım siteyi zaten zityaretci defterini allahtan mesaj onaylı yapmışım sadece adamın yazıdığı kodları admin panelinde görüyorum kod görsem yine iyi kodu çalıştırıyo
-
ya kodum pnesi bide ülkücü bayrağı va rtürk sitelerle uğraşıyor böylelerinin ta ejdadınıı..
öncelikle guvenlik.asp gibi bir dosya oluştur içine
----------------------------------
<%
Function suz(data)
data = Replace (data ,"`","",1,-1,1)
data = Replace (data ,"=","",1,-1,1)
data = Replace (data ,"&","",1,-1,1)
data = Replace (data ,"%","",1,-1,1)
data = Replace (data ,"!",";",1,-1,1)
data = Replace (data ,"#","",1,-1,1)
data = Replace (data ,"<","",1,-1,1)
data = Replace (data ,">","",1,-1,1)
data = Replace (data ,"*","",1,-1,1)
data = Replace (data ,"\","",1,-1,1)
data = Replace (data ,"'","",1,-1,1)
data = Replace (data ,"Chr(34)","",1,-1,1)
data = Replace (data ,"Chr(39)","",1,-1,1)
data = Replace(data, "script", "script", 1, -1, 0)
data = Replace(data, "SCRIPT", "SCRIPT", 1, -1, 0)
data = Replace(data, "Script", "Script", 1, -1, 0)
data = Replace(data, "script", "Script", 1, -1, 1)
data = Replace(data, "object", "object", 1, -1, 0)
data = Replace(data, "OBJECT", "OBJECT", 1, -1, 0)
data = Replace(data, "Object", "Object", 1, -1, 0)
data = Replace(data, "object", "Object", 1, -1, 1)
data = Replace(data, "applet", "applet", 1, -1, 0)
data = Replace(data, "APPLET", "APPLET", 1, -1, 0)
data = Replace(data, "Applet", "Applet", 1, -1, 0)
data = Replace(data, "applet", "Applet", 1, -1, 1)
data = Replace(data, "embed", "embed", 1, -1, 0)
data = Replace(data, "EMBED", "EMBED", 1, -1, 0)
data = Replace(data, "Embed", "Embed", 1, -1, 0)
data = Replace(data, "embed", "Embed", 1, -1, 1)
data = Replace(data, "event", "event", 1, -1, 0)
data = Replace(data, "EVENT", "EVENT", 1, -1, 0)
data = Replace(data, "Event", "Event", 1, -1, 0)
data = Replace(data, "event", "Event", 1, -1, 1)
data = Replace(data, "document", "document", 1, -1, 0)
data = Replace(data, "DOCUMENT", "DOCUMENT", 1, -1, 0)
data = Replace(data, "Document", "Document", 1, -1, 0)
data = Replace(data, "document", "Document", 1, -1, 1)
data = Replace(data, "cookie", "cookie", 1, -1, 0)
data = Replace(data, "COOKIE", "COOKIE", 1, -1, 0)
data = Replace(data, "Cookie", "Cookie", 1, -1, 0)
data = Replace(data, "cookie", "Cookie", 1, -1, 1)
data = Replace(data, "form", "form", 1, -1, 0)
data = Replace(data, "FORM", "FORM", 1, -1, 0)
data = Replace(data, "Form", "Form", 1, -1, 0)
data = Replace(data, "form", "Form", 1, -1, 1)
data = Replace(data, "on", "on", 1, -1, 0)
data = Replace(data, "ON", "ON", 1, -1, 0)
data = Replace(data, "On", "On", 1, -1, 0)
data = Replace(data, "on", "on", 1, -1, 1)
data = Replace(data, "document.cookie", "Document.cookie", 1, -1, 1)
data = Replace(data, "javascript:", "javascript ", 1, -1, 1)
data = Replace(data, "vbscript:", "vbscript ", 1, -1, 1)
suz=data
End Function
%>***-----------------------------
bunları koy sonra
kaydedilirken
mesaj = suz(Trim(request.form("mesaj")))
tarzında hepsini böyle çek dbye kaydederkende
hebe.add
hebe("mesaj")=mesaj
hebe.updatedersin olur biter.Yada direk
hebe("mesaj") = suz(request.form("mesaj"))
dersin fakat tavsiyem diğeri.Böylece if mesaj = "" then falan fişman diyebilirsin
güvenlik konusunda 100 lerce konu var araştırsan neler bulacaksın
edit:
sana htmlyi olduğu gibi gösteren birşeyde verebilirim fakat bu sever yazıları alt alta çıkartmaz.baka kalırsa bi text editor işe yarar.Aspsitemin vardı al onu mesaj kısmına onu koy.
-
eyvallah arkadaşlar valla okadar sinir olumki biran önce halledim diye uğraşıyorum belli olmuyoki her dakka mesaj atarlar korkusuyla acil çözüm bulamaya çalışıyorum. aslında dediğin gibi zumsuk kardeşim araştırmam lasım aslında var bilgilerde bu sinirle doru yerleri bulamadım senin verdiğin kodlarıda deniyorum çok teşekkürler herşey için gelişmeleri haberdar ederim saolun....
-
yorumlarınız ve tavsiyeleriniz için teşekkürler özellikle zumsuk kardeşim bilgilerin için teşekkür ederim sonunda halletim çok saolun...
-
DJ_Alper bunu yazdı:
-----------------------------
ziyaretçi defterini kaldır :)
-----------------------------
Kökten çözüm :D -
zümsüğün verdiği gibi kasmana gerek yok
Server.HTMLEncode kullan
<%
gelenveri=Server.HTMLEncode(request.form("alan"))
%>
-
zumsuk işin b*kunu çıkarmış her şeyi de engelleme
ayrıca dbye süzülen veriyi kaydetme, normal kaydet, gösterirken süz
< > gibi anahtar tagları engelle yeter ya da fox'un dediği gibi encode şeklinde göster..
edit : < ve > işareti de lazım olabilir < > olarak replacele onları