Tahribat.com Forumları
Asp - Php - Cgi - Perl
Xss'e Html Purifier Dışında Başka Çare?

Yazar Ayro (3) j4x (1) SerYolcu (2) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Yapay Zeka     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

Xss'e Html Purifier Dışında Başka Çare?

1. 01/Mar/12 16:37 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   bbcode ile 3 sene önce yazdığım basit bir editor yapacaktım.Fakat blog için biraz özene bezene gidiyorum. Düzgün birşey olsun, kullanıcılara kolaylık sağlasın dedim. O yüzden kendim wysiwyg editore giriştim. Fakat, dilediğiniz kadar htmlentities, strip_tags kullanın, izin verdiğiniz kodlar dışında problemler çıkacak. Mesela eventler ;

   <a href="javascript:alert('xss');">Tıkla</a>

   Bunu strip_tags($yazi, '<a>'); ile süzsen dahi geçer. Bunu engellemek için (kısacası xss), html purifier mevcut. http://htmlpurifier.org/

   --

   Fakat ben kasma, uygulanabilirlik, performans gibi bir çok şeyi aşırı tkıntı yaptığımdan, framework vs.. kullanıyorum. Tek jquery'i hazır kullanıyorum. Şimdi bunları hiç kullanamam. Stackoverflow'da html purifier önerilmiş fakat, çok ağır olduğunu söyleyenler mevcut. Bende şöyle birşey buldum ;

   http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php

   Bu fonksiyonlar daha işe yarar... Eventleri iptal edicem, zaten kalın, italik vs.. dışında linklerde href, resimlerde src var. Başında http:// koyduk mu, epey bi yöntem eleniyor. Yinede daha büyük saldırılar var ;

   http://ha.ckers.org/xss.html

   Ki explorer 'ı yasakladığım için ( bir nevi sinir ) zaten güvenlik sorununun çoğu çözüldü :) fakat bu tarz kütüphaneler vs.. kullanım bakıyorum. 

   ---

   Varsa paylaşın, yoksa zaten ben bulduklarımı paylaşmak için açıyorum konuları.

   Alıntı yap
2. 01/Mar/12 18:35 Kısayol Şikayet Özel Mesaj
   Hunter
   j4x
   
   

   Kayıt Tarihi: 16/Temmuz/2005
   

   Admin paneline koyacaksan fazla kastırmana gerek yok, wp nin kullandığı kses mi ne wardı taa ne zamanlar belki değişmiştir bilmiyorum. yada htmLawed de olabilir. Ama kullanıcılara açacaksan htmlpurifierdan şaşma derim.

   ---

   The king is bleeding.
   Alıntı yap
3. 01/Mar/12 19:07 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   son çare oda ; şu güzel bir çözüm gibi ;

   http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php

   Alıntı yap
4. 01/Mar/12 21:55 Kısayol Şikayet Özel Mesaj
   SerYolcu
   
   

   Kayıt Tarihi: 14/Ocak/2010
   

   PHP'nin komutlarından,

   - HTML STRIP TAGS

   - ADSLASHES

   - HTML ENTITIES

   - HTML SPECIAL CHARS

   bunları kullanarak bir şeyler yapılabilir..

   ---

   Ondan çocuk olmamıştır (Kimsenin babası değildir). Kendisi de doğmamıştır (kimsenin çocuğu değildir). İhlas Suresi 3 üncü ayette bunlar yazar.
   Alıntı yap
5. 02/Mar/12 10:44 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   SerYolcu bunu yazdı:
   -----------------------------

   PHP'nin komutlarından,

   - HTML STRIP TAGS

   - ADSLASHES

   - HTML ENTITIES

   - HTML SPECIAL CHARS

   bunları kullanarak bir şeyler yapılabilir..

   
   -----------------------------

   eventlere , framelere gireecğinden düzenli ifadelerle kontrol edilmesi gerek.

   Alıntı yap
6. 02/Mar/12 10:59 Kısayol Şikayet Özel Mesaj
   SerYolcu
   
   

   Kayıt Tarihi: 14/Ocak/2010
   

   zumsuk bunu yazdı:
   -----------------------------

    

   eventlere , framelere gireecğinden düzenli ifadelerle kontrol edilmesi gerek.

   
   -----------------------------

   http://www.celalyurtcu.com/php-ereg-ve-eregi-kullanimi.html

   ---

   Ondan çocuk olmamıştır (Kimsenin babası değildir). Kendisi de doğmamıştır (kimsenin çocuğu değildir). İhlas Suresi 3 üncü ayette bunlar yazar.
   Alıntı yap
7. 02/Mar/12 11:28 Kısayol Şikayet Özel Mesaj
   Ayro
   
   

   Kayıt Tarihi: 08/Ağustos/2005
   

   SerYolcu bunu yazdı:
   -----------------------------

   http://www.celalyurtcu.com/php-ereg-ve-eregi-kullanimi.html

   -----------------------------

   hocam oturup kendim yazıcam zaten. Üstte verdiğim php de çoğu şeyi halletmiş. Hazır varken, iyi ve performanslıysa yeniden yazmama gerek yok.

   üstelik;

   http://htmlpurifier.org/comparison

   html purifier gerçekten sağlam. Yani kendi yazacağım sınıfla, bu adamların sınıfı arasında dağlar kadar fark olabilir.

   Zaten 3 senedir kendim oturup güvenlik modüllerini yazıyorum. Eskilerden birini geliştiririm sıkıntı yok.

   Alıntı yap

Cevapla