View Full Version : upload یک فایل HTML و نمایش آن
khadem1386
یک شنبه 12 اردیبهشت 1389, 12:50 عصر
با سلام:
من در سایتم امکان آپ لود یک فایل HTML برای کاربران سایتم در نظر گرفتم تا کاربران بتونند این فایل فرمت شده ی HTML را در قسمت خودشون نمایش بدهند.
از چه طریقی می تونم از xss و حمالات جاوایی جلوگیری کنم.
اگر از تابع ها server.htmlencoded((
استفاده کنم کل فرمت بندی و آرایش فایل html من از بین می ره
روش اصولی آن چگونه است.
می شه مثلا کلمه script را فیلتر کرد.
ولی می دونم که هکر های واقعی از زبان کد شده و بصورت #X و کامندخوشون را می تونند وارد کنند. برنامه جاوای خودشن را بصورت کد به html خودشن تظریق می کنند که در این صورت فیلتر کردن کلمه Script نمی تونه خیلی موثر باشه.
چه روشی را شما پیشنهاد می کنید؟
با تشکر
khadem1386
یک شنبه 19 اردیبهشت 1389, 22:06 عصر
کسی نظری نداره؟
shahkaar
پنج شنبه 23 اردیبهشت 1389, 20:39 عصر
میتونی کاربرهارو به یک سری تگ خاص محدود کنی.تا از وارد شدن تگ های اضافه جلوگیری بشه. هرچند شاید کارت سخت بشه ولی حفظ امنیت همیشه سخته.:ناراحت:
aryaei2000
پنج شنبه 23 اردیبهشت 1389, 21:12 عصر
با سلام:
من در سایتم امکان آپ لود یک فایل HTML برای کاربران سایتم در نظر گرفتم تا کاربران بتونند این فایل فرمت شده ی HTML را در قسمت خودشون نمایش بدهند.
از چه طریقی می تونم از xss و حمالات جاوایی جلوگیری کنم.
اگر از تابع ها server.htmlencoded((
استفاده کنم کل فرمت بندی و آرایش فایل html من از بین می ره
روش اصولی آن چگونه است.
می شه مثلا کلمه script را فیلتر کرد.
ولی می دونم که هکر های واقعی از زبان کد شده و بصورت #X و کامندخوشون را می تونند وارد کنند. برنامه جاوای خودشن را بصورت کد به html خودشن تظریق می کنند که در این صورت فیلتر کردن کلمه Script نمی تونه خیلی موثر باشه.
چه روشی را شما پیشنهاد می کنید؟
با تشکر
برای مبارزه با هکرها هیچ روش پایه ای وجود نداره که اگه ازش استفاده کنید دیگه کسی نتونه سایت شما رو هک کنه.هر برنامه ای هرچقدر هم که ماهرانه نوشته شده باشه بازم ساخته دست انسان هست و مشکلاتی داره.
برای مشکل شما هم بهترین راه همین فیلتر کردن هست. (کاراکتر هایی مثل < , >)
یادتون باشه که مرتبا باید اسکریپت های امنیتی خودتون رو بروز کنید.دست بالای دست بسیار است و ممکنه شما یه راه نفوذ (حتی راه های کوچک) رو نبسته باشید و یه نفر از همون راه به شما حمله کنه.
کدهای زیادی برای جلو گیری از حملات xss در اینترنت موجود هست که بعضی هاشون روش های جالبی دارن.
موفق باشید.
khadem1386
یک شنبه 26 اردیبهشت 1389, 21:57 عصر
خیلی از شما دوستان ممنونم ولی فیلتر کردن کارکتر های < , > نمی تونه راه حل مناسبی باشه چون اونوقت این فایل یک فایل html با فرمت نیست.
من می خواهم کاربرانم بجای فایلهای txt یک فایل html را آپلود کنند. به این ترتیب بتونند کمی آنرا آرایش کنند.
اگر مثلا کلمه script را فیلتر کنم آیا هکر باز هم می تونه زبان جاوا اسکریت را بصورت هگزا در بیاره یا نه ؟
فیلتر کردن زبان اصلی جاوا اسکریپت خیلی سخت نیست ولی مشکل اینجاست که ممکن هکر ها بخواهد کامندهای جاوا اسکریپت خودش را بصورت هگزا در بیاره. اون وقت براحتی فیلتر من را دور می زنه؟
البته من نمی دونم چگونه می شه جاوا را هگزا کرد. ولی می دونم که جاوا همیشه به همین سادگی با کلمه script شروع نمی شه .
راستی این فایر فاکسهای جدید چه قدر در برابر حملات xss مقاوم شده ؟
باز هم از شما تشکر
kashaneh
دوشنبه 27 اردیبهشت 1389, 12:02 عصر
به مقدار زیادتر از مرورگر IE... چون الان کلا موزیلا، گوگل و یک شرکت امنیتی دیگر دارن روی سایت هایی که از طریق تزریق کد آلوده شده اند کار می کنند و چنانچه همچین سایتی با مرورگر فایرفاکس (و حتی کروم) مشاهده بشه همون پیغام آشنای "این وب سایت از نظر امنیتی مشکل داره!!" (البته مضمون پیام اینه و نه اصل پیام!) مشاهده میشه درحالیکه همون سایت براحتی توسط IE باز میشه!!!!
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.