Htmlpurifier Yardımı

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    arkinfes
    arkinfes's avatar
    Kayıt Tarihi: 07/Haziran/2007
    Erkek

    Herkese merhabalar,

    her zamanki gibi benim sorum var :).

    htmlpurifier veya benzer bir sınıfta olabilir bunu kullanarak nasıl sadece xss kodlarını temizleyebilirim sadece xss açığını kapatmak istiyorum diğer taglara izin versin çünki metin editör kullanıyorum. Bana yardımcı olabilirseniz çok sevinirim türkçe hiç kaynak yok ingilizcemde yok :) sırf benim için olmaz yarın birgün nette başkası ararsa burda bulabilir hem :D çok hazırcılık oluyor ama çok sıkışık durumdayım.

    sevgilerle


    Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    nurulmac11
    nurulmac11's avatar
    Kayıt Tarihi: 04/Ağustos/2012
    Erkek

    Script, iframe engellesen yeter sanırım xss ve csrf için. 

    Ya da editöründeki butun html etiketlerini sırayla whitelist yapican


    black implies white, self implies other, life implies death.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    arkinfes
    arkinfes's avatar
    Kayıt Tarihi: 07/Haziran/2007
    Erkek

    strip_tags($veri, '<p><strong><em><span><a><img>');

    şeklinde sadece editördekilere izin verdim hocam


    Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    DrKill
    DrKill's avatar
    Kayıt Tarihi: 10/Mart/2004
    Erkek

    htmlpurifier gibi sınıflar eğer ki kullanıcıdan, sitenden yorumlanması gereken HTML kodu alıyorsan kullanmak gereken sınıflardır.

    Diğer herşey için kullanıcıdan aldığın tüm verileri htmlspecialchars gibi metodlarla html kodlarını encode etmelisin.

     

    DrKill tarafından 23/Nis/17 00:05 tarihinde düzenlenmiştir

    Bu imzayı her gördüğünüzde 4gb kotanızın 0,00000358559191226959228515625 azalmaktadır. Bilerek ve istenerek bu imza yapılmıştır. Amaç kotanızı sömürmektir
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Hannibal_King
    Hannibal_King's avatar
    Kayıt Tarihi: 22/Ağustos/2010
    Erkek
    nurulmac11 bunu yazdı

    Script, iframe engellesen yeter sanırım xss ve csrf için. 

    Ya da editöründeki butun html etiketlerini sırayla whitelist yapican

    Csrf bambaşka bir şey hocam. Csrf engellemek icin sayfaya token falan koyuyoruz server a gelen istek acaba gerçekten bizim site üzerinden mi geldi diye anlamak icin

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    emirhan-exp
    emirhan-exp's avatar
    Kayıt Tarihi: 10/Ocak/2010
    Erkek

    hocam şu işine yarar %95:

     

    str_replace("script","",$gonderilecekmesaj)

     

    str_replace("iframe","",$gonderilecekmesaj)

    str_replace("meta","",$gonderilecekmesaj)

    emirhan-exp tarafından 25/Nis/17 20:32 tarihinde düzenlenmiştir
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    arkinfes
    arkinfes's avatar
    Kayıt Tarihi: 07/Haziran/2007
    Erkek

    yok strip_tags($veri, '<p><strong><em><span><a><img>'); ile sadece bu taglara izin verdim çözüldü olay


    Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    emirhan-exp
    emirhan-exp's avatar
    Kayıt Tarihi: 10/Ocak/2010
    Erkek

    <a onClick(javascript:alert(document.cookie)) yazabilir o yüzden dedim sen bilirsin hoca

     

     

    emirhan-exp tarafından 25/Nis/17 20:37 tarihinde düzenlenmiştir
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    emirhan-exp
    emirhan-exp's avatar
    Kayıt Tarihi: 10/Ocak/2010
    Erkek

    referer headerının kendi sitenden olmasını engellersen %99 başarısız olur hack işi

    (moda not: yanlış başlığa yazdım)

    emirhan-exp tarafından 25/Nis/17 21:06 tarihinde düzenlenmiştir
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    YeniHarman
    YeniHarman's avatar
    Kayıt Tarihi: 17/Haziran/2012
    Erkek

    Referrer, tarayıcı tarafından gönderilir. İstemci bazlı çözümle güvenlik sağlanamaz.

    XSS için https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 


    Olaylara karışmayın!
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    emirhan-exp
    emirhan-exp's avatar
    Kayıt Tarihi: 10/Ocak/2010
    Erkek

    hocam onu dışardan post edip hackliyorlar demiş ona yazacaktım buraya yazdım. istemciyi değiştirmek mümkün çünkü. neyse sonuç olarak metin editörünüz link yerine "javascript:alert('')" gibi şeyler kabul ediyorsa sorun var demektir.

     

    şu örneği test edebilirsiniz 

    <a href="javascript:alert(\"xss\")">deneme</a>



    işin daha kötüsü body onload bile yapılabilir index basılabilir.(öyle yapan arkadaş vardı)

     

     

     

     

     

     

     

     

     

     

    emirhan-exp tarafından 26/Nis/17 22:41 tarihinde düzenlenmiştir
Toplam Hit: 1197 Toplam Mesaj: 12
php xss class