Çalıştığım Bilgi İşlemdeki web sitesini "PHP XSS ataklarına" karşı korumak araştırmalar yapıyorum. HTMLPurifier'i buldum bu aşağıdaki makalede. Ama yetersiz.
Kullanan arkadaşımız var mı?
https://canerblt.wordpress.com/2009/06/23/php-xss-ataklarini-engellemek-icin-html-purifier-kutuphanesi/
PHP XSS ataklarını engellemek için |
12 Mesajlar | 2.461 Okunma | ||
- Üyelik 18.07.2016
- Yaş/Cinsiyet 31 / K
- Meslek Yazılımcı
- Konum Ankara
- Ad Soyad E** K**
- Mesajlar 18
- Beğeniler 17 / 13
- Ticaret 0, (%0)
Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
- Üyelik 19.07.2016
- Yaş/Cinsiyet 25 / E
- Meslek Öğrenci
- Konum Malatya
- Ad Soyad Y** C**
- Mesajlar 11
- Beğeniler 2 / 2
- Ticaret 0, (%0)
Çalıştığınız Bilgi İşlem Güvenlik Hizmeti Verebilecek Birini Çalıştırmalı..
http://testmuhendisi.com/
Bu Site Freelance Test Muhendislerine Ulaşabileceğiniz Bir Sitedir..
http://testmuhendisi.com/
Bu Site Freelance Test Muhendislerine Ulaşabileceğiniz Bir Sitedir..
- Üyelik 02.07.2016
- Yaş/Cinsiyet 39 / E
- Meslek Webmaster
- Konum İstanbul Avrupa
- Ad Soyad B** O**
- Mesajlar 1705
- Beğeniler 820 / 523
- Ticaret 19, (%100)
Bu kod ile xss olabilecek html kodları şifreleyerek verirseniz ekrana sadece yazı olarak yansır.
$string = "
XSS kapalıdır";
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
?> 
- Üyelik 30.01.2014
- Yaş/Cinsiyet 33 / E
- Meslek Yazılım
- Konum Ankara
- Ad Soyad D** K**
- Mesajlar 156
- Beğeniler 65 / 56
- Ticaret 16, (%100)
htmlspecialchars ile encode ederseniz.
ancak encode edilmiş şekilde taglar girilirse fonksiyon tam tersi decode eder bu sefer test edilmiştir dikkatli olun.
Sayısal veya harf değerli alacaksanız sadece kullanıcıdan ctype kullanabilirsiniz.
ctype_digit
ctype_alnum
if( ctype_alnum($deger) ) {
echo" gelen değer sayı ve harf içermektedir.";
}else {
echo" Hata gelen veride sayı harf dışında özel harakter içermektedir.";
}
2. Önlem ise
STR_REPLACE
$xss = str_replace("<", "<", $deger);
ancak encode edilmiş şekilde taglar girilirse fonksiyon tam tersi decode eder bu sefer test edilmiştir dikkatli olun.
Sayısal veya harf değerli alacaksanız sadece kullanıcıdan ctype kullanabilirsiniz.
ctype_digit
ctype_alnum
if( ctype_alnum($deger) ) {
echo" gelen değer sayı ve harf içermektedir.";
}else {
echo" Hata gelen veride sayı harf dışında özel harakter içermektedir.";
}
2. Önlem ise
STR_REPLACE
$xss = str_replace("<", "<", $deger);
- Üyelik 18.07.2016
- Yaş/Cinsiyet 31 / K
- Meslek Yazılımcı
- Konum Ankara
- Ad Soyad E** K**
- Mesajlar 18
- Beğeniler 17 / 13
- Ticaret 0, (%0)
HTMLPurifier son versiyonunu kurdum, çok güzel oldu. Hiç sorun yok. Herkese de öneririm.
htmlpurifier.org
htmlpurifier.org
Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
- Üyelik 28.11.2013
- Yaş/Cinsiyet 30 / E
- Meslek Ameliyathane Hemşiresi
- Konum Afyon
- Ad Soyad I** Ç**
- Mesajlar 2633
- Beğeniler 344 / 487
- Ticaret 12, (%100)
webprogramlama adlı üyeden alıntı
HTMLPurifier son versiyonunu kurdum, çok güzel oldu. Hiç sorun yok. Herkese de öneririm.htmlpurifier.org
HOcam bu htmlpurifier ne işe yarıyor ?
- Üyelik 03.08.2015
- Yaş/Cinsiyet 27 / E
- Meslek Yazılımcı
- Konum Fransa
- Ad Soyad A** H**
- Mesajlar 1205
- Beğeniler 437 / 458
- Ticaret 2, (%100)
Bence ek dosya ve s. gerek yok, xss açığını bırakmak zaten çok acemi insanların içi, eğer kullanıcı taraftan alınan bilgileri ekrana olduğu gibi yazdıran bir kodlama yapısı var ise olay bitmiştir
- Üyelik 18.07.2016
- Yaş/Cinsiyet 31 / K
- Meslek Yazılımcı
- Konum Ankara
- Ad Soyad E** K**
- Mesajlar 18
- Beğeniler 17 / 13
- Ticaret 0, (%0)
HTMLPurifier devasa bir çözüm, büyük projeler için.
Mesela bizde dünya kadar kullanıcı var, bunlar veri giriyor. Haliyle HTML araçları kullanılıyor.
Word ve Exel'den içerik kopyalayıp yapıştıranlar var, dizaynı boyuyor. HTMLPurifier bunları hem süzgeçten geçiriyor hem de en güncel araçlarla uyumlu hale getirerek tasarımın bozulmasını engelliyor.
Ben sistemimize HTMLPurifier 4.8.0'i entegre ettim, dertlerinden kurtuldum.
http://htmlpurifier.org/
Maalesef Türkçe kaynak yok, yeni olan pek çok şey için yok. Bol bol İngilizce öğretiyorlar bize.
Mesela bizde dünya kadar kullanıcı var, bunlar veri giriyor. Haliyle HTML araçları kullanılıyor.
Word ve Exel'den içerik kopyalayıp yapıştıranlar var, dizaynı boyuyor. HTMLPurifier bunları hem süzgeçten geçiriyor hem de en güncel araçlarla uyumlu hale getirerek tasarımın bozulmasını engelliyor.
Ben sistemimize HTMLPurifier 4.8.0'i entegre ettim, dertlerinden kurtuldum.
http://htmlpurifier.org/
Maalesef Türkçe kaynak yok, yeni olan pek çok şey için yok. Bol bol İngilizce öğretiyorlar bize.
Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
- Üyelik 02.07.2016
- Yaş/Cinsiyet 39 / E
- Meslek Webmaster
- Konum İstanbul Avrupa
- Ad Soyad B** O**
- Mesajlar 1705
- Beğeniler 820 / 523
- Ticaret 19, (%100)
Kesinlikle ve kesinlikle bu kod işe yaramaktadır, dursunkoca htmlspecialchars fonksiyonunu kullanmayı bilmiyorsundur.
Büyük projelerde kullanmakta olduğumuz bu kod konuyu inceleyenlere yardımcı olacaktır, eklenti falan filan kullanmaya gerek yoktur.
Büyük projelerde kullanmakta olduğumuz bu kod konuyu inceleyenlere yardımcı olacaktır, eklenti falan filan kullanmaya gerek yoktur.
$string = "
XSS kapalıdır";
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
?> - Üyelik 18.07.2016
- Yaş/Cinsiyet 31 / K
- Meslek Yazılımcı
- Konum Ankara
- Ad Soyad E** K**
- Mesajlar 18
- Beğeniler 17 / 13
- Ticaret 0, (%0)
Ama ben anlattım, HTMLPurifier sadece bunun için yapılmamış, 300-400 dosyayı sadece bu görevi yapmak için geliştirmemişler. Sitesine girip diğer yararlarını da gözden geçirmenizi rica ediyorum. Kurumsal olarak bizim işimizi çözdü.
İyi çalışmalar.
İyi çalışmalar.
Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)