коллективный постинг статей на сайте и javascript, потенциальные уязвимости.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 12:13:50.700000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
привет всем. делаю сайт, коллективный блог/интернет журнал http://type-type.ru. задумался над вопросом, вырезать яваскрипты из постов пользователей или не нужно. посоветуйте plz как поступить.
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 12:42:14.486666
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
А зачем их оставлять? Они же вроде и не нужны.
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 12:48:48.480000
|
|
|
magistr_bender
Сообщений: 977
Оценки: 0
Присоединился: 2008-02-22 20:10:21.133333
|
я при сабмите новостей удаляю всё, что между тегами скрипт обычно ну вот приблизительно по такой маске "<script(.*)</script>"
|
|
|
RE: коллективный постинг статей на сайте и javasсriрt, потенциальные уязвимости. - 2009-03-16 13:28:52.990000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
ORIGINAL: Cep}|{ А зачем их оставлять? Они же вроде и не нужны. может кто нибудь с яваскриптом захочет статью опубликовать, интерактивность типа )
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 13:31:46.810000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
ORIGINAL: magistr_bender я при сабмите новостей удаляю всё, что между тегами скрипт обычно ну вот приблизительно по такой маске "<script(.*)</script>" а я вот думаю если не вырезать их, чем это грозит, кукисы не сохраняю
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 13:43:36.760000
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
Да я считаю не нужны они (javascript'ы) в статьях, какой толк от них может быть?
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 14:00:31.930000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
ORIGINAL: Cep}|{ Да я считаю не нужны они (javascript'ы) в статьях, какой толк от них может быть? а навредить они чем могут ?
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 15:54:07.306666
|
|
|
magistr_bender
Сообщений: 977
Оценки: 0
Присоединился: 2008-02-22 20:10:21.133333
|
вообщето много чем… например создавать ифрэймы с рекламой или попапы … та дофига всего. так же могут быть всякие вирусныки опятьже через ифрэймы
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 16:55:26.833333
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
Они просто не нужны там.
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 20:26:51.690000
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
8888xxx8888, вы бы конкретизировали свою задачу. К примеру, Вам нужно, чтобы пользователи могли пользоваться HTML'ом?
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 20:38:52.320000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
8888xxx8888, вы бы конкретизировали свою задачу. К примеру, Вам нужно, чтобы пользователи могли пользоваться HTML'ом? quote:
ORIGINAL: oRb 8888xxx8888, вы бы конкретизировали свою задачу. К примеру, Вам нужно, чтобы пользователи могли пользоваться HTML'ом? тэгами да, хотелось бы чтобы посты в WISIWYG редакторе набирались, он с html работает, решил пока премодерацию постов сделать, все опасное руками вырезать.
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 21:07:41.516666
|
|
|
magistr_bender
Сообщений: 977
Оценки: 0
Присоединился: 2008-02-22 20:10:21.133333
|
зачем руки то пачкать?:))) можео например так $text = preg_replace ("#<sсriрt(.*)</sсriрt>#",'',$text); не проверял но поидее должно сработать
|
|
|
RE: коллективный постинг статей на сайте и javascript, потенциальные уязвимости. - 2009-03-16 21:43:22.640000
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
ORIGINAL: magistr_bender зачем руки то пачкать?:))) можео например так $text = preg_replace ("#<sсriрt(.*)</sсriрt>#",'',$text); не проверял но поидее должно сработать а если там onClick какой)
|
|
|
RE: коллективный постинг статей на сайте и javasсriрt, потенциальные уязвимости. - 2009-03-16 22:02:50.993333
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
На WISIWYG надеяться не надо (что он ничего левого не попустит). Многие WISIWYG-редакторы по ctrl-tab переходят в режим - "чистый html" да и post никто не отменял. по поводу <sсriрt> надо проверять балансировку ещё. И регулярное выражение выстроить пожесче (с учетом всех пробелов, табов, разрывов строк, параметров, ….. например (выделено то, что твое рег-выражение не учитывает) <sсriрt lang="русский" title="новое свойство" hello world! как у вас дела? /> alert("нормально") </sсriрt желаю всего хорошего /> вот такую бредятину (которая является нормальным явлением, с точки зрения неприхтливого браузера) надо предусмотреть. Вообще много чего можно выкинуть из кода. И обязательно проверяй "балансировку" или ограждай весть пост почетителя в CDATA (в этом случае все форматирование сойдет на нет, но можно исхитриться) <![CDATA[ текстик ]]> только удали из текста посетитеся все конструкции <![CDATA[ и ]]>. Не будешь проверять баланcировку, то люди догадаются что можно просто задевейсить все введя открытый редкий тег, со свойством, которое позволяет редактировать текст или делает его жирным, красным, …. или можно такое написать: </html> или </table> или просто в первом посте введя по порядку в 3-х постах 1) <sсriрt> 2) текст скрипта 3) </sсriрt> ещё, возможно, можно закрыть html, вставить новый includ (со ссылочной на свой java-sсriрt пакет, снова открыть html …. потомвставить вызов события (DHTML) например на onmousеmоvе <DIV onmousеmоvе="hack()"> text <DIV> На все это и на многое другое надо будет написать "удаляющие" регулярные выражения. я ещё про тег <applet> подумал, но понял что ошибся, аптлет к левому сайту не приделать. Вообще все свойства тегов кроме face (для font), size, color и style (и ещё штук 10-15), причем из значения style надо удалть тоже все почти, оставить можно только teхt-color, font-family (ну и дальше по смыслу - все безоюидное). А то есть и многослойность и события, только они не нужны форуму.
|
|
|
RE: коллективный постинг статей на сайте и javasсriрt, потенциальные уязвимости. - 2009-03-16 22:44:45.793333
|
|
|
8888xxx8888
Сообщений: 7
Оценки: 0
Присоединился: 2009-03-16 11:59:23.583333
|
quote:
ORIGINAL: tеstеr На WISIWYG надеяться не надо (что он ничего левого не попустит). Многие WISIWYG-редакторы по ctrl-tab переходят в режим - "чистый html" да и post никто не отменял. дык вот я на него и НЕ надеюсь, поэтому и задумался )
|
|
|
RE: коллективный постинг статей на сайте и javasсriрt, потенциальные уязвимости. - 2009-03-16 23:45:30.750000
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
На счет того что ты задумался. Много не думай, выпускай в жизнь то, что есть. Даже если твой ресурс будет весь в дырах, то это даже +, так как это привлечет аудиторию определенного склада ума (возможно, именно на неё ты и расчитываешь). Починишь все по ходу дела. Фишка стартапов в том, что они красивые, информативные (хоть малость) (динамичности можно достичь и за счет постоянного улучшения, -) ) Я не призываю тебя становиться коекакером, сам вот счас придумал реализацию курсача и встал на этом (на форум залез), а уже пора бы кодить во всю (поэтому, можешь считать, что это я себя подгоняю и, причем, подогнал).
|
|
|
|
|