Gaist-Endruy
( off
)
(
20:44 24-10-2009
)
PR1MUS, Нуууу, ты очень умный
Gaist-Endruy
( off
)
(
20:45 24-10-2009
)
Цитата: felka
Gaist-Endruy, цитата из второй части прикреплёного .txt
файлы желательно отдавать с другого поддомена.
дабы,если наш XSS фильтр,во время закачки на сервер,ошибся и пропустил атаку,
не подвергать опасности личные данные юзеров сайта.
Интересно, но тупо...
felka
( off
)
(
11:37 25-10-2009
)
Цитата: Gaist-Endruy
Интересно, но тупо...
почему тупо ?
когда с поддомена отдаётся картинка,
юзеры защищены от кражи личных данных.
Gaist-Endruy
( off
)
(
11:40 25-10-2009
)
Цитата: felka
почему тупо ?
когда с поддомена отдаётся картинка,
юзеры защищены от кражи личных данных.
Тупо потому, что откуда бы не отдавались данные, - если хотят украсть что-то и так украдут... защищатся нужно на программном уровне... ну скриптами и т.д.
felka
( off
)
(
11:48 25-10-2009
)
Gaist-Endruy, ну XSS фильтр при upload само собой,плюс другие меры безопасности.
но и сквозь такие фильтры появляются бреши временами.
а если картинка отдаётся с того же домена,то угнать кукисы не сложно для злоумышленника.
внедрив javascript в картинку.
а организовывать отдачу статики динамически,
против моих убеждений.
поэтому перешла на lighttpd.
felka
( off
)
(
20:04 27-10-2009
)
Gaist-Endruy, у тебя есть на примете толковый фильтр xss,для загружаемых юзерами изображений ?
Gaist-Endruy
( off
)
(
08:40 28-10-2009
)
felka, лично у меня нету, я не web-мастер.
И пора бы уже знать, что работаю с компилироваными языками программирования.
Но. не смотря на это, разбираюсь и в некомпилированых языках.
У меня нету, но есть в интернете, и знаете, google поисковик в наше время существует.
Gaist-Endruy
( off
)
(
08:40 28-10-2009
)
Думаю, нужно знать - и полезно.
Прикрепленный файл .txt:
скачать
(5.7Kb)
Gaist-Endruy
( off
)
(
08:41 28-10-2009
)
HTML фильтр. Удаляет нежелательные элементы и атрибуты HTML кода. Полезен для устранения XSS.
Версия: 0.1.0
Платформа: Linux, *BSD, Unix, Windows etc
Обновление:
[ред.
Gaist-Endruy
28-10-2009 в 08:41]
Прикрепленный файл .zip:
скачать
(25.3Kb)
Gaist-Endruy
( off
)
(
08:44 28-10-2009
)
PHP: фильтр от XSS и SQL-инъекций.
Предлагаю небольшое исследование на тему безопасности веб-приложений и фильтрации вводимых данных. Скорее всего, я ещё вернусь к этой теме, но сейчас больше хочется не писать трехтомник, а сохранить и упорядочить собранное и проверенное. В частности, речь пойдёт о фильтрационной защите от XSS-атак и SQL-инъекций.
)