ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
14.08.2009, 15:43
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Сообщение от Kpeamop
где ты данные видел учетки или ящика или еще чего-то со спец символами? они все в основном идут в латинице и цифры, поэтому метод катит на 95%
Угу, в данном конкретно файле, этот вариант сработает, но неизвестно что там будет в будущем, т.е. как вариант добавят поле в котором забудут поставить "" и т.п. А предложенный тобой вариант создаст иллюзию безопасности.
З.Ы.
В качестве хотфикса конечно покатит, но разработчику я бы посоветовал разобраться с каждым передаваемым параметром основательно.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
14.08.2009, 17:18
|
|
Новичок
Регистрация: 04.01.2007
Сообщений: 24
Провел на форуме:
100525
Репутация:
46
|
|
Сообщение от Qwazar
Угу, в данном конкретно файле, этот вариант сработает, но неизвестно что там будет в будущем, т.е. как вариант добавят поле в котором забудут поставить "" и т.п. А предложенный тобой вариант создаст иллюзию безопасности.
З.Ы.
В качестве хотфикса конечно покатит, но разработчику я бы посоветовал разобраться с каждым передаваемым параметром основательно.
: каждый символ " заменится на мнемонику хтмл "e;, поэтому дублировать его нет нужды, при выводе XSS не будет.
Во 2х: я говорил и повторюсь работать не будет только с подобным спец. символами, т.к. при запросах к бд, в бд будет " а слаться на выборку будет "e; естественно совпадений не будет, на это я и оставил 5% не удобности данного метода.
ЗЫ: уже 1.5 года в эксплуатации данный метод, хоть бы кто-то пожаловался что их не устраивает.
ЗЫЫ: юна учи хтмл и пхп, чтоб не делать таких ошибок в скриптах, а лучше пиши свои и не юзай чужие.
Последний раз редактировалось Kpeamop; 14.08.2009 в 17:31..
|
|
|
|
14.08.2009, 17:31
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Сообщение от Kpeamop
ЗЫ: уже 1.5 года в эксплуатации данный метод, хоть бы кто-то пожаловался что их не устраивает.
Пример кода, на котором такой метод не сработает:
PHP код:
<?php
foreach($_GET as $k=>$v)
{
$_GET[$k]=htmlspecialchars($v);
}
echo "<table name=".$_GET['a']."><tr><td>test</td></tr></table>";
?>
Пример использования:
Код:
http://localhost/1.php.zzz?a=1%20onMouseOver=alert(/aaa/)
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
14.08.2009, 17:40
|
|
Новичок
Регистрация: 04.01.2007
Сообщений: 24
Провел на форуме:
100525
Репутация:
46
|
|
Сообщение от Qwazar
Пример кода, на котором такой метод не сработает:
PHP код:
<?php
foreach($_GET as $k=>$v)
{
$_GET[$k]=htmlspecialchars($v);
}
echo "<table name=".$_GET['a']."><tr><td>test</td></tr></table>";
?>
Пример использования:
Код:
http://localhost/1.php.zzz?a=1%20onMouseOver=alert(/aaa/)
насколько я помню речь шла не о каком-то коде взятом из головы, а именно из usersearch.php, а там все в ""
пример:
поэтому будет не так :
Код:
<table name=1 onMouseOver=alert(/aaa/)><tr><td>test</td></tr></table>
а так:
Код:
<table name="1 onMouseOver=alert(/aaa/)"><tr><td>test</td></tr></table>
и я не соглашусь с тобой, что этот код вреден.
|
|
|
|
14.08.2009, 17:43
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Kpeamop, я и написал что как хот-фикс он подойдёт, для конкретно этого файла. Но если в нём что нибудь поменяют, этот код может перестать защищать. И само собой, в общем случае, на такой код полагаться нельзя.
З.Ы.
К слову, в TBDev мест где в тегах не используются кавычки - *опой жуй.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
14.08.2009, 17:47
|
|
Новичок
Регистрация: 04.01.2007
Сообщений: 24
Провел на форуме:
100525
Репутация:
46
|
|
Сообщение от Qwazar
И само собой, в общем случае, на такой код полагаться нельзя.
З.Ы.
К слову, в TBDev мест где в тегах не используются кавычки - *опой жуй.
без кавычек - не спорю, а так вполне достаточно надежный.
|
|
|
|
14.08.2009, 21:39
|
|
Познающий
Регистрация: 22.06.2009
Сообщений: 41
Провел на форуме:
47299
Репутация:
18
|
|
+
К слову, в TBDev мест где в тегах не используются кавычки - *опой жуй.
->
не эффективно
два - у тебя хрень такая - name="something[]" и так несколько чекбоксов - на выходе этого МАССИВА НЕ БУДЕТ
|
|
|
|
15.08.2009, 01:30
|
|
Новичок
Регистрация: 04.01.2007
Сообщений: 24
Провел на форуме:
100525
Репутация:
46
|
|
2 Yuna, *scratch* ты это, с кем говорил?
Последний раз редактировалось Kpeamop; 15.08.2009 в 02:08..
|
|
|
|
15.08.2009, 13:02
|
|
Участник форума
Регистрация: 01.05.2009
Сообщений: 212
Провел на форуме:
362450
Репутация:
76
|
|
Давно уже не работает вообще-то.
|
|
|
|
16.08.2009, 01:35
|
|
Познающий
Регистрация: 22.06.2009
Сообщений: 41
Провел на форуме:
47299
Репутация:
18
|
|
что давно не работает? вы хоть понимаете зачем нужна такая конструкция? или смысл моего поста
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
