lostyazilim
tr.link

PHP XSS ataklarını engellemek için

12 Mesajlar 2.470 Okunma
lstbozum
tr.link

webprogramlama webprogramlama WM Aracı Kullanıcı
  • Üyelik 18.07.2016
  • Yaş/Cinsiyet 31 / K
  • Meslek Yazılımcı
  • Konum Ankara
  • Ad Soyad E** K**
  • Mesajlar 18
  • Beğeniler 17 / 13
  • Ticaret 0, (%0)
Çalıştığım Bilgi İşlemdeki web sitesini "PHP XSS ataklarına" karşı korumak araştırmalar yapıyorum. HTMLPurifier'i buldum bu aşağıdaki makalede. Ama yetersiz.

Kullanan arkadaşımız var mı?

https://canerblt.wordpress.com/2009/06/23/php-xss-ataklarini-engellemek-icin-html-purifier-kutuphanesi/
 

 

Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
wmaraci
reklam

CrimeCrew CrimeCrew WM Aracı Kullanıcı
  • Üyelik 19.07.2016
  • Yaş/Cinsiyet 26 / E
  • Meslek Öğrenci
  • Konum Malatya
  • Ad Soyad Y** C**
  • Mesajlar 11
  • Beğeniler 2 / 2
  • Ticaret 0, (%0)
Çalıştığınız Bilgi İşlem Güvenlik Hizmeti Verebilecek Birini Çalıştırmalı..
http://testmuhendisi.com/
Bu Site Freelance Test Muhendislerine Ulaşabileceğiniz Bir Sitedir..
Ultibil

kişi bu mesajı beğendi.

JumperTech JumperTech Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 02.07.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad B** O**
  • Mesajlar 1705
  • Beğeniler 820 / 523
  • Ticaret 19, (%100)
Bu kod ile xss olabilecek html kodları şifreleyerek verirseniz ekrana sadece yazı olarak yansır.
$string = "

XSS kapalıdır";
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
?>
 

 

dursunkoca dursunkoca WM Aracı Kullanıcı
  • Üyelik 30.01.2014
  • Yaş/Cinsiyet 33 / E
  • Meslek Yazılım
  • Konum Ankara
  • Ad Soyad D** K**
  • Mesajlar 156
  • Beğeniler 65 / 56
  • Ticaret 16, (%100)
htmlspecialchars ile encode ederseniz.
ancak encode edilmiş şekilde taglar girilirse fonksiyon tam tersi decode eder bu sefer test edilmiştir dikkatli olun.

Sayısal veya harf değerli alacaksanız sadece kullanıcıdan ctype kullanabilirsiniz.


ctype_digit
ctype_alnum


if( ctype_alnum($deger) ) {

echo" gelen değer sayı ve harf içermektedir.";

}else {

echo" Hata gelen veride sayı harf dışında özel harakter içermektedir.";

}


2. Önlem ise
STR_REPLACE


$xss = str_replace("<", "<", $deger);
webprogramlama

kişi bu mesajı beğendi.

wmaraci
wmaraci

webprogramlama webprogramlama WM Aracı Kullanıcı
  • Üyelik 18.07.2016
  • Yaş/Cinsiyet 31 / K
  • Meslek Yazılımcı
  • Konum Ankara
  • Ad Soyad E** K**
  • Mesajlar 18
  • Beğeniler 17 / 13
  • Ticaret 0, (%0)
HTMLPurifier son versiyonunu kurdum, çok güzel oldu. Hiç sorun yok. Herkese de öneririm.
htmlpurifier.org
 

 

Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049

ismail03 ismail03 WM Aracı Kullanıcı
  • Üyelik 28.11.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek Ameliyathane Hemşiresi
  • Konum Afyon
  • Ad Soyad I** Ç**
  • Mesajlar 2633
  • Beğeniler 344 / 487
  • Ticaret 12, (%100)

webprogramlama adlı üyeden alıntı

HTMLPurifier son versiyonunu kurdum, çok güzel oldu. Hiç sorun yok. Herkese de öneririm.
htmlpurifier.org


HOcam bu htmlpurifier ne işe yarıyor ?
webprogramlama

kişi bu mesajı beğendi.

sovetski sovetski ♛ PHP ♛ Kimlik Onayı
  • Üyelik 03.08.2015
  • Yaş/Cinsiyet 27 / E
  • Meslek Yazılımcı
  • Konum Fransa
  • Ad Soyad A** H**
  • Mesajlar 1205
  • Beğeniler 437 / 458
  • Ticaret 2, (%100)
Bence ek dosya ve s. gerek yok, xss açığını bırakmak zaten çok acemi insanların içi, eğer kullanıcı taraftan alınan bilgileri ekrana olduğu gibi yazdıran bir kodlama yapısı var ise olay bitmiştir
 

 

webprogramlama webprogramlama WM Aracı Kullanıcı
  • Üyelik 18.07.2016
  • Yaş/Cinsiyet 31 / K
  • Meslek Yazılımcı
  • Konum Ankara
  • Ad Soyad E** K**
  • Mesajlar 18
  • Beğeniler 17 / 13
  • Ticaret 0, (%0)
HTMLPurifier devasa bir çözüm, büyük projeler için.

Mesela bizde dünya kadar kullanıcı var, bunlar veri giriyor. Haliyle HTML araçları kullanılıyor.

Word ve Exel'den içerik kopyalayıp yapıştıranlar var, dizaynı boyuyor. HTMLPurifier bunları hem süzgeçten geçiriyor hem de en güncel araçlarla uyumlu hale getirerek tasarımın bozulmasını engelliyor.

Ben sistemimize HTMLPurifier 4.8.0'i entegre ettim, dertlerinden kurtuldum.
http://htmlpurifier.org/

Maalesef Türkçe kaynak yok, yeni olan pek çok şey için yok. Bol bol İngilizce öğretiyorlar bize.
 

 

Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049

JumperTech JumperTech Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 02.07.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad B** O**
  • Mesajlar 1705
  • Beğeniler 820 / 523
  • Ticaret 19, (%100)
Kesinlikle ve kesinlikle bu kod işe yaramaktadır, dursunkoca htmlspecialchars fonksiyonunu kullanmayı bilmiyorsundur.

Büyük projelerde kullanmakta olduğumuz bu kod konuyu inceleyenlere yardımcı olacaktır, eklenti falan filan kullanmaya gerek yoktur.
$string = "

XSS kapalıdır";
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
?>
 

 

webprogramlama webprogramlama WM Aracı Kullanıcı
  • Üyelik 18.07.2016
  • Yaş/Cinsiyet 31 / K
  • Meslek Yazılımcı
  • Konum Ankara
  • Ad Soyad E** K**
  • Mesajlar 18
  • Beğeniler 17 / 13
  • Ticaret 0, (%0)
Ama ben anlattım, HTMLPurifier sadece bunun için yapılmamış, 300-400 dosyayı sadece bu görevi yapmak için geliştirmemişler. Sitesine girip diğer yararlarını da gözden geçirmenizi rica ediyorum. Kurumsal olarak bizim işimizi çözdü.

İyi çalışmalar.
 

 

Twitter Hesabı: @web_programlama
Google+ Hesabı: https://plus.google.com/u/0/110187108814964507049
wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al