folder Tahribat.com Forumları
linefolder Html - CSS - XML - JavaScript - Ajax
linefolder WYSIWYG Kullanımında İnjection'lardan Korunma



WYSIWYG Kullanımında İnjection'lardan Korunma

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    TeRRoR
    TeRRoR's avatar
    Kayıt Tarihi: 06/Nisan/2007
    Erkek

    Hacılar bir projeye kullanıcıların mesaj yazabilmesi için WYSIWYG editor eklemem gerekiyor. Ancak public bir uygulama olacağı için injectionlardan çekiniyorum. Editor'un çok fazla özelliğe ihtiyacı yok. Bold, italic, font color, alignment, font size, img upload gibi basit özellikleri işimi görür. (TBT deki konu ve mesaj yazdığımız editor gibi). Buraya kadar piyasadaki tüm editorler zaten bu özellikleri barındırıyor zaten. Ama benim çekincem herhangi bir şekilde XSS zaafiyeti oluşması. Bu konuda backend tarafında ne tür önlemler alıyorsunuz ve neler önerirsiniz? (Sistem laravel framework ve php 7+)


    herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    micropin
    micropin's avatar
    Kayıt Tarihi: 11/Haziran/2016
    Erkek

    Ben de .Net MVC'de CKeditor'ü kullandım. Üye olmadan kullanılamadığı için herhangi bir önlem alma gereği görmedim. Ancak sanırım html içeriği veritabanında tutmak yerine xml'de tutsak sql injection sorununa kesin çözüm olur.


    "Nasıl doğabilirsin ki yeniden önce küle dönmeden..."
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    micropin bunu yazdı

    Ben de .Net MVC'de CKeditor'ü kullandım. Üye olmadan kullanılamadığı için herhangi bir önlem alma gereği görmedim. Ancak sanırım html içeriği veritabanında tutmak yerine xml'de tutsak sql injection sorununa kesin çözüm olur.

    Sterilize et inputu okurken, sonra yaz dbye.


    0x0480 takilin madem ﷽﷽﷽
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    arkinfes
    arkinfes's avatar
    Kayıt Tarihi: 07/Haziran/2007
    Erkek

    ben de tinmce kullanıyorum PDO ile bindValue yapıyorum sql inj'e karşı koruyor 

    arkinfes tarafından 29/May/20 11:15 tarihinde düzenlenmiştir

    Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    biri
    biri's avatar
    Kayıt Tarihi: 03/Ocak/2009
    Erkek

    SQL injectiondan çok XSS önemli bu konuda. XML falan cozum olmaz burada.

    Ben regex ile belli başlı taglar haricinde tümünü engelledim. Ayrıca onload onclick gibi js tetikleyen parametreleri temizledim tag içinde.


    ¯\(ツ)/¯ ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Elif - Efe
    rakkoc
    rakkoc's avatar
    Kayıt Tarihi: 19/Aralık/2003
    Homo
    end bunu yazdı
    micropin bunu yazdı

    Ben de .Net MVC'de CKeditor'ü kullandım. Üye olmadan kullanılamadığı için herhangi bir önlem alma gereği görmedim. Ancak sanırım html içeriği veritabanında tutmak yerine xml'de tutsak sql injection sorununa kesin çözüm olur.

    Sterilize et inputu okurken, sonra yaz dbye.

    entity kullan, yada ado kullaniyorsan parametre kullan sql injection için.

    ama konu XSS ise en mantiklisi BBcode destekli bir editor kullan. db ye BBCODe alırsın. BBCODE'den html'e convert edersin. BBCODE nin desteklemediği parametreleri elbette kullanamaz ama güvenli bir noktada olmuş olursun. 

     


    Bu aralar fazla yogunum. Unuttugum seyler oluyorsa affola. DM vs atın.
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    TeRRoR
    TeRRoR's avatar
    Kayıt Tarihi: 06/Nisan/2007
    Erkek

    Sql injection konusunda çekincem yok. Çekincem XSS açığı. Kayıtlı kullanıcılar yazı yazabiliyor ancak yinede bu kötü niyetli olmayacakları anlamı taşımıyor benim için. Sterilize işlemi uygulanabilir ancak bunun için kabul görmüş bir package vs biliyor musunuz? Güvenlik konusunda güvenlikçi kadar iyi olamayacağımız için regexle, replace ile basit tagleri temizle işine girmek istemiyorum şimdilik. Son çare olarak bu olabilir.


    herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    TeRRoR
    TeRRoR's avatar
    Kayıt Tarihi: 06/Nisan/2007
    Erkek
    rakkoc bunu yazdı
    end bunu yazdı
    micropin bunu yazdı

    Ben de .Net MVC'de CKeditor'ü kullandım. Üye olmadan kullanılamadığı için herhangi bir önlem alma gereği görmedim. Ancak sanırım html içeriği veritabanında tutmak yerine xml'de tutsak sql injection sorununa kesin çözüm olur.

    Sterilize et inputu okurken, sonra yaz dbye.

    entity kullan, yada ado kullaniyorsan parametre kullan sql injection için.

    ama konu XSS ise en mantiklisi BBcode destekli bir editor kullan. db ye BBCODe alırsın. BBCODE'den html'e convert edersin. BBCODE nin desteklemediği parametreleri elbette kullanamaz ama güvenli bir noktada olmuş olursun. 

     

    Tam ben yazarken yazmissin hocam. Bbcode olayini hayirlayamamistim. Simdi arastirip bi gozden geciricem. Donus yaparim buraya.


    herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    TeRRoR
    TeRRoR's avatar
    Kayıt Tarihi: 06/Nisan/2007
    Erkek

    teşekkürler herkese, şuanda http://htmlpurifier.org/ şunu kullanmayı araştırıcam biraz detaylı olarak. belki sizinde işinize yarayabilir.


    herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    arkinfes
    arkinfes's avatar
    Kayıt Tarihi: 07/Haziran/2007
    Erkek

    Şöyle bir şey buldum inceleme fırsatım olmadı henüz =

    https://github.com/kohana/core/blob/c443c44922ef13421f4a3af5b414e19091bbdce9/classes/kohana/security.php

    Html Purifier çok büyük bir kütüphane hocam nette araştırdım performans sorunları yaratabiliyormuş. Ayrıca daha önce ben kullanmayı denedim çok garip şekilde tinymce'de image upload olayında src="" boşaltıyordu.


    Do majör soylu ve açık sözlü , Do minör patetik , Re majör parlak , Re minör melankolik , Mi bemol majör soylu ve patetik , aydinlik ama soylu ve karamsar tonmu lazim ozaman; mi majör , Mi minör doğanin ilk minör tonu olmasina karsin biraz melankoliktir , Fa majör karışıktır , Fa minör hepsinden patetiktir , Fa Diyez majör iste güçtür çünkü degiştirgeçlerle asiri yuklenmistir , Si majör parlak ve oyun bozannn :))
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    TeRRoR
    TeRRoR's avatar
    Kayıt Tarihi: 06/Nisan/2007
    Erkek
    arkinfes bunu yazdı

    Şöyle bir şey buldum inceleme fırsatım olmadı henüz =

    https://github.com/kohana/core/blob/c443c44922ef13421f4a3af5b414e19091bbdce9/classes/kohana/security.php

    Html Purifier çok büyük bir kütüphane hocam nette araştırdım performans sorunları yaratabiliyormuş. Ayrıca daha önce ben kullanmayı denedim çok garip şekilde tinymce'de image upload olayında src="" boşaltıyordu.

    Çok detaylı kıl config'leri var onunla ilgili birşey olabilir. Kullanıcı ürün eklerken açıklama kısmına yazdıklarını filtrelemek istiyorum. Çok yoğun kullanılacak bir bölüm olmadığı için yaratacağı gecikme ne kadar olabilir ki? Sadece kayıt sırasında tek seferlik bir işlem olacak, render'da kullanacağım birşey olsa performans sıkıntı olabilir ama bu durumda 1sn bile sürse çok koymaz diye düşünüyorum. Kohana'yıda inceliyim daha lightweight duruyor. Teşekkürler.


    herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
Toplam Hit: 2585 Toplam Mesaj: 17
tinymce wysiwyg xss korunma ckeditor