Tahribat.com Forumları
Asp - Php - Cgi - Perl
Htmlpurifier Yardımı

Yazar arkinfes (2) DrKill (1) emirhan-exp (4) Hannibal_King (2) nurulmac11 (1) YeniHarman (1) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

Htmlpurifier Yardımı

1. 22/Nis/17 17:24 Kısayol Şikayet Özel Mesaj
   arkinfes
   
   

   Kayıt Tarihi: 07/Haziran/2007
   

   Herkese merhabalar,

   her zamanki gibi benim sorum var :).

   htmlpurifier veya benzer bir sınıfta olabilir bunu kullanarak nasıl sadece xss kodlarını temizleyebilirim sadece xss açığını kapatmak istiyorum diğer taglara izin versin çünki metin editör kullanıyorum. Bana yardımcı olabilirseniz çok sevinirim türkçe hiç kaynak yok ingilizcemde yok :) sırf benim için olmaz yarın birgün nette başkası ararsa burda bulabilir hem :D çok hazırcılık oluyor ama çok sıkışık durumdayım.

   sevgilerle

   ---

   Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
   Alıntı yap
2. 22/Nis/17 20:35 Kısayol Şikayet Özel Mesaj
   nurulmac11
   
   

   Kayıt Tarihi: 04/Ağustos/2012
   

   Script, iframe engellesen yeter sanırım xss ve csrf için. 

   Ya da editöründeki butun html etiketlerini sırayla whitelist yapican

   ---

   black implies white, self implies other, life implies death.
   Alıntı yap
3. 22/Nis/17 21:34 Kısayol Şikayet Özel Mesaj
   arkinfes
   
   

   Kayıt Tarihi: 07/Haziran/2007
   

   strip_tags($veri, '<p><strong><em><span><a><img>');

   şeklinde sadece editördekilere izin verdim hocam

   ---

   Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
   Alıntı yap
4. 22/Nis/17 23:00 Kısayol Şikayet Özel Mesaj
   DrKill
   
   

   Kayıt Tarihi: 10/Mart/2004
   

   htmlpurifier gibi sınıflar eğer ki kullanıcıdan, sitenden yorumlanması gereken HTML kodu alıyorsan kullanmak gereken sınıflardır.

   Diğer herşey için kullanıcıdan aldığın tüm verileri htmlspecialchars gibi metodlarla html kodlarını encode etmelisin.

    

   DrKill tarafından 23/Nis/17 00:05 tarihinde düzenlenmiştir

   ---

   Bu imzayı her gördüğünüzde 4gb kotanızın 0,00000358559191226959228515625 azalmaktadır. Bilerek ve istenerek bu imza yapılmıştır. Amaç kotanızı sömürmektir
   Alıntı yap
5. 23/Nis/17 02:11 Kısayol Şikayet Özel Mesaj
   Hannibal_King
   
   

   Kayıt Tarihi: 22/Ağustos/2010
   

   nurulmac11 bunu yazdı

   Script, iframe engellesen yeter sanırım xss ve csrf için. 

   Ya da editöründeki butun html etiketlerini sırayla whitelist yapican

   Csrf bambaşka bir şey hocam. Csrf engellemek icin sayfaya token falan koyuyoruz server a gelen istek acaba gerçekten bizim site üzerinden mi geldi diye anlamak icin

   Alıntı yap
6. 25/Nis/17 20:28 Kısayol Şikayet Özel Mesaj
   emirhan-exp
   
   

   Kayıt Tarihi: 10/Ocak/2010
   

   hocam şu işine yarar %95:

    

   str_replace("script","",$gonderilecekmesaj)

    

   str_replace("iframe","",$gonderilecekmesaj)

   str_replace("meta","",$gonderilecekmesaj)

   emirhan-exp tarafından 25/Nis/17 20:32 tarihinde düzenlenmiştir
   Alıntı yap
7. 25/Nis/17 20:31 Kısayol Şikayet Özel Mesaj
   arkinfes
   
   

   Kayıt Tarihi: 07/Haziran/2007
   

   yok strip_tags($veri, '<p><strong><em><span><a><img>'); ile sadece bu taglara izin verdim çözüldü olay

   ---

   Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
   Alıntı yap
8. 25/Nis/17 20:35 Kısayol Şikayet Özel Mesaj
   emirhan-exp
   
   

   Kayıt Tarihi: 10/Ocak/2010
   

   <a onClick(javascript:alert(document.cookie)) yazabilir o yüzden dedim sen bilirsin hoca

    

    

   emirhan-exp tarafından 25/Nis/17 20:37 tarihinde düzenlenmiştir
   Alıntı yap
9. 25/Nis/17 21:05 Kısayol Şikayet Özel Mesaj
   emirhan-exp
   
   

   Kayıt Tarihi: 10/Ocak/2010
   

   referer headerının kendi sitenden olmasını engellersen %99 başarısız olur hack işi

   (moda not: yanlış başlığa yazdım)

   emirhan-exp tarafından 25/Nis/17 21:06 tarihinde düzenlenmiştir
   Alıntı yap
10. 26/Nis/17 18:27 Kısayol Şikayet Özel Mesaj
    YeniHarman
    
    

    Kayıt Tarihi: 17/Haziran/2012
    

    Referrer, tarayıcı tarafından gönderilir. İstemci bazlı çözümle güvenlik sağlanamaz.

    XSS için https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 

    ---

    Olaylara karışmayın!
    Alıntı yap
11. 26/Nis/17 22:01 Kısayol Şikayet Özel Mesaj
    emirhan-exp
    
    

    Kayıt Tarihi: 10/Ocak/2010
    

    hocam onu dışardan post edip hackliyorlar demiş ona yazacaktım buraya yazdım. istemciyi değiştirmek mümkün çünkü. neyse sonuç olarak metin editörünüz link yerine "javascript:alert('')" gibi şeyler kabul ediyorsa sorun var demektir.

     

    şu örneği test edebilirsiniz 

    <a href="javascript:alert(\"xss\")">deneme</a>

    
    
    
    işin daha kötüsü body onload bile yapılabilir index basılabilir.(öyle yapan arkadaş vardı)

     

     

     

     

     

     

     

     

     

     

    emirhan-exp tarafından 26/Nis/17 22:41 tarihinde düzenlenmiştir
    Alıntı yap

Cevapla