یک راه ساده برای مقابله را xss

[khadem1386]

آیا برای مقابله با xss می شه ورودی ها مون را فیلتر کنیم و هر چه علامت بزرگتر > یعنی همون علامتی که با آن یک tag شروع می شه را حذف کنیم. بعد اظلاعات را ذخیره سازی کنیم.

انیجوری هر چه کد html یا script جاوا از نوع کلایت را وارد دیتا بیس مون بکنند که این کد بعداد برای کلاینتها مون خط ناک باشه ، نا کارامد خواهد شد.

آیا این روش فیلتر کردن من مناسب است؟

احتمال هم داره که قضیه به همین سادگی ها هم نباشه.
ولی یک کد اینجوری تو کدام browser ی اجرا می شه؟

کد:

script> javacode  /script>

با تشکر

[javad_1368]

گرچه اینجا فروم شبکه هست و سوالی که شما پرسیدید مربوط به web application security هست

همونطور که میدونید xss در زمانی رخ میده کا کاربر به شکلی وردی خودش رو روی مرورگر وب شخص قربانی اجرا میکنه و بستگی به نوع ورودی داره مثلا اگه ورودی فقط قراره عدد باشه توی php میشه از این تابع استفاده کرد

کد:

$secure_integer=(int)$input

ولی اگه ورودی شما عدد و کاراکتر هست باید ورودی هایی مثل :

کد:

>,<,(,),%,0x,...

رو فیلتر کنید یا اینکه یه فانکشن بنویسید و به وسیله اون چک کنید که اگه کاراکتر های مجاز a-z یا ... توش هست یا نه و کاراکتری غیر از اون هایی که شما تعین کردید توی ورودی بود سیستم IDS تشخیص بده و ...

[khadem1386]

از پاسخ شما خیلی ممنونم
ولی من می گم اگر این علامت ( > ) را در تمامی ورودی های مثل post یا querystring فیلتر کنم دیگه هیچ جاوای بیگانه ای نمی تونه داخل دیتا بیس من رخنه کنه آیا می تونه رخنه کنه آیا کد جاوا را می شه بدون تگ <SCREEPT> نوشت و توی html گذاشت؟
منکه فکر نکنم.

اون کارکتر های که بالا گفتید به درد sql می خوره البته تا انوجایی که من می دونم.

[javad_1368]

از پاسخ شما خیلی ممنونم
ولی من می گم اگر این علامت ( > ) را در تمامی ورودی های مثل post یا querystring فیلتر کنم دیگه هیچ جاوای بیگانه ای نمی تونه داخل دیتا بیس من رخنه کنه آیا می تونه رخنه کنه آیا کد جاوا را می شه بدون تگ <SCREEPT> نوشت و توی html گذاشت؟
منکه فکر نکنم.

اون کارکتر های که بالا گفتید به درد sql می خوره البته تا انوجایی که من می دونم.

من خیلی کار نکردم
درسته هم به درد sql injection میخوره هم xss ولی اگه ورودی رو به hexa decimal تبدیل کنه از فیلتر < میگذره و کدهاش رو اجرا میکنه و اونجاست که فیلتر % کاربرد داره

[shast]

و فیلتر کنید یا اینکه یه فانکشن بنویسید و به وسیله اون چک کنید که اگه کاراکتر های مجاز a-z یا ... توش هست یا نه و کاراکتری غیر از اون هایی که شما تعین کردید توی ورودی بود سیستم IDS تشخیص بده و ...

کاملاً موافق هستم . دیر رسیدم به بحث . بله شما باید % رو هم فیلتر کنید .

البته اینجکشن بازم راه bypass کردن داره به همین سادگی نمیشه جلو گیری کرد

[FOTROS64]

سلام دوست عزیز
اگه توضبحات بیشتری میخوای بیا اینجا ...
Ashiyane Digital Security Members - آموزش هک و امنیت

[khadem1386]

با تشکر:
می شه در مورد bypass توضیح بدید یعنی چه؟

به نظر من فعلا این مهمه که اصولا اگر یک هکر بخواد bypass کنه چقدر براش سخته؟

خود سختی، یک نوع حفاظت در برابر هکر های شبکه است. چون براشون صرف نمی کنه بیشتر بخوان وقت بزارن. مگر اینکه سایت ناسا زیر دست تون باشه!!!

آیا bypass مخصوص xss است یا در مورد sql injection هم کار برد داره؟


بسیاری برای xss می گند بهترین راه، استفاده از توابع کشنده جاوا در هنگام ضبط در دیتا بیس هست.نظر شما چیه؟

یا xss فقط نوعی اینجکت کردن جاوا سکریپت هست یا زبانهای دیگر را هم در بر می گیره؟


با تشکر

[javad_1368]

با تشکر:
می شه در مورد bypass توضیح بدید یعنی چه؟

به نظر من فعلا این مهمه که اصولا اگر یک هکر بخواد bypass کنه چقدر براش سخته؟

خود سختی، یک نوع حفاظت در برابر هکر های شبکه است. چون براشون صرف نمی کنه بیشتر بخوان وقت بزارن. مگر اینکه سایت ناسا زیر دست تون باشه!!!

آیا bypass مخصوص xss است یا در مورد sql injection هم کار برد داره؟


بسیاری برای xss می گند بهترین راه، استفاده از توابع کشنده جاوا در هنگام ضبط در دیتا بیس هست.نظر شما چیه؟

یا xss فقط نوعی اینجکت کردن جاوا سکریپت هست یا زبانهای دیگر را هم در بر می گیره؟


با تشکر

در رابطه با bypass : به این معنی هست که شما یک چیزی رو دور بزنی. مثلا اینکه اگه اجازه ورود به login page به شما داده نمیشه , login page رو bypass میکنی و با sql injection دورش میزنی

همون طور که دوستمون FOTROS گفتن برای اطلاعات بیشتر به فروم امنیتی آشیانه مراجعه کنید
ممنون