Forum
Aktif konular
Üyeler
Kurallar
Arama
ASP Forum Guvenlik ASP Forum Guvenlik
-
Merhabalar Ben bir Forum yazmaya basladim. ASP ile yapacağim ve RTE kullanacağim. ama normalde guvenlik amacli bir funtionum waer :
GelenVeri = Replace(GelenVeri, "<", "& l t")
GelenVeri = Replace(GelenVeri, ">", "& g t")
GelenVeri = Replace(GelenVeri, "script", "& # 1 1 5 cript", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "SCRIPT", "& # 0 8 3 CRIPT", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "Script", "& # 0 8 3 cript", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "script", "& # 0 8 3c ript", 1, -1, 1)
gibi uzayip gidiyo ama benim soracağim su RTE oldugu icin iceride <p> <img src="sdsd.sdf"> tarzinda gerekli kodlarda olacak tir ama disaridan <script> gibi seylerde post edile bileceğini dusundum < ve > bize lazim ama script ti ve buna benzeyen diyer taglari kaldiricam ama bir sorunum daha waer ki replace de buyuk kucuk harf duyarliliği waer yani ben Scrip ti tanimlasam adamScRiP yazsa html bunu yorumlayacak ama benim guvenlik systemimden kurtulmus olacak bu sekilde bir sistemi nasil kura bilirim. -
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<DIV", "<DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<Div", "<Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 1)GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</DIV", "</DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</Div", "</Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 1)Benim kullandığım sistem bu şikilde...
-
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<DIV", "<DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<Div", "<Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 1)GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</DIV", "</DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</Div", "</Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 1)ama kullanici <dIv - </dIv kullanirsa bunu algilamaz iste hem bunlari algilayacak hemde zararli kodlari ayiklayacak bir sey istiyordum ki buldum haziri yoksa kendim yazarim dedim rte benzeri systen bitmek uzere buna ait tanimlamalari js ile kisitlandiricam sadece onlarin kullanimlarina izin waericem sonrada bakalim nasil olacak
[editlenipte eklenen kisim :]
WebWiz i Severdim edit aciğini kapadiğimdaki kodu sitelerinden sildiler sonra dandik bir kod ile diye bir seyler duydum ki calisiyordu + baska bir değisime izin waermiyordu sadece message + Pid aliyordu adamdan neyse ben aciğin kapama kodunuda yazayim simdi foruma -
Ben hepsini denedim çalışmıyor sen rahat ol...
-
esegi saglam kaziğa baglada isterse kurt yesin ne olacak.
http://www.geocities.com/ramsofttr/TozAlici.txt -
Webwiz forum hepsini kapatmış şu an webwizin html taglarında bir problem yok, enson style tagında benim sayemde sorun çıktı oda kapatıldı :)
-
harflerin bir kısmınıda unicode karşılıklarıyla değiştirirseniz bir çok script bozulacaktır. "s,c,i" gibi
-
o yuzden lcase ile ilemi yaptiriyorum ilk o linkteki kod inceledi iseniz. + Link aciğininda gideriyor oradaki yama.
Savsak.com dan bir arkadasim soyledi bu link : http://rapidshare.de/files/3513095/link_webwiz_by_Ejder5.rar.htmlAcik guselm ama bunu bu site denemek bence terbiyesizliktir Desteklemediğimi belirtmek isterim.
-
MitNickKevin bunu yazdı:
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<DIV", "<DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<Div", "<Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 1)GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</DIV", "</DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</Div", "</Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 1)Benim kullandığım sistem bu şikilde...
bakın bu koda bakarak coder ile programcı arasındaki farkı anlayabilirsiniz bir coder bunu şöyle yazar;
GelenVeri = Replace(GelenVeri, lcase("<div"), "<div", 1, -1, 1)
ancak programcı pratik zekaya sahip omadığından tüm olasılıkları tanıtır
-
ir2 bunu yazdı:
MitNickKevin bunu yazdı:GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<DIV", "<DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<Div", "<Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "<div", "<div", 1, -1, 1)GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</DIV", "</DIV", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</Div", "</Div", 1, -1, 0)
GelenVeri = Replace(GelenVeri, "</div", "</div", 1, -1, 1)Benim kullandığım sistem bu şikilde...
bakın bu koda bakarak coder ile programcı arasındaki farkı anlayabilirsiniz bir coder bunu şöyle yazar;
GelenVeri = Replace(GelenVeri, lcase("<div"), "<div", 1, -1, 1)
ancak programcı pratik zekaya sahip omadığından tüm olasılıkları tanıtır
Ustadim
GelenVeri = Replace(GelenVeri, lcase("<div"), "<div", 1, -1, 1)
Burada zaten <div ufak harf ile yazilmamismi ?? yanlis anlamadi isem dogrusu
GelenVeri = Replace(lcase(GelenVeri), "<div", "<div", 1, -1, 1)
olacak ama normal yazininda tamamini kucuk harfé cevirecektir bu sekilde o yuzden bende o waerdiğim linke bakarsaniz bir tarama yapiyorum sadece < ile > arasindakiler kucuk harf e ceviriyorum bu sayede mesala RTE den gelen kod :
<Html><tr><tD>ASDsad</TD></tR></hTmL> dahi olsa bunu mdb ye <html><tr><td>ASDsad</td></tr></html> olarka yazdiriyorum sonrada ASCII ye ceviriyorum taglari ortada bir sey kalmiyor -
Benim yaptiğim toz alici scriptini test etmek isteyen arkadaslar icin : http://www.belasoft.net/denek.asp bekliyorum her turlu gorus ve dusuncelerinizi.
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla