View Full Version : سوال: نحوه بر طرف کردن مشکل امنیتی هنگام استفاده از ادیتور ها
mohsen.nsb44
چهارشنبه 12 مرداد 1390, 14:36 عصر
با سلام و خسته نباشید خدمت همه دوستان مثل خیلی افراد برای ثبت خبر ها و مقالات از ادیتور هایی مثل fckeditor , freetextbox استفاده می کنم اما همانطور که مطلع هستید زمانی که از این ادیتور ها استفاده می شود در صفحه قسمت htm کد ها باید کد ValidateRequest="false" را نوشت تا ادیتور بدون مشکل کار بکنه حال من چند تا سوال دارم یکی اینکه این کدی که نوشتیم(ValidateRequest="false") چه مشکلاتی رو از نظر امنیتی ایجاد میکنه؟ دوم اینکه چطور میشه مشکلات ناشی از اون رو برطرف کرد؟ و اخر اینکه ادیتوری وجود داره که هم سبک باشه و هم نیازی به ValidateRequest="false" نداشته باشه؟
jaykob
پنج شنبه 13 مرداد 1390, 12:10 عصر
با سلام و خسته نباشید خدمت همه دوستان مثل خیلی افراد برای ثبت خبر ها و مقالات از ادیتور هایی مثل fckeditor , freetextbox استفاده می کنم اما همانطور که مطلع هستید زمانی که از این ادیتور ها استفاده می شود در صفحه قسمت htm کد ها باید کد ValidateRequest="false" را نوشت تا ادیتور بدون مشکل کار بکنه حال من چند تا سوال دارم یکی اینکه این کدی که نوشتیم(ValidateRequest="false") چه مشکلاتی رو از نظر امنیتی ایجاد میکنه؟ دوم اینکه چطور میشه مشکلات ناشی از اون رو برطرف کرد؟ و اخر اینکه ادیتوری وجود داره که هم سبک باشه و هم نیازی به ValidateRequest="false" نداشته باشه؟
سلام دوست عزیز
شما زمانی ValidateRequest رو غیر فعال می کنید در معرض خطر حمله xss قرار می گیرید که همان cross site scripting هست با استفاده از این حمله کد های جاوا اسکریپت قابلیت اجرا دارند و اطلاعات بدون تایید اعتبار رد و بدل می شوند که توضیحات زیادی داره برخی از عواقب دزدیدن کوکی ها است . در نسخه های قدیمی دات نت با null کردن می شد این مسئله رو bypass کرد اما این مشکل بر طرف شد . بهترین گزینه برای استفاده TinyMCE هست چون fckeditor در تمامی ورژن ها باگ داره . TinyMCE هم بسیار سبک هست و هم امن شما می تونید حالت فشارده سازی رو هم داخلش فعال کنید که سرعت خیلی سریع تر بشه . در صفحه ای که از ادیتور استفاده می کنید کادر سرچ و کادر هایی که اطلاعات رو ترانسفر می کنند به دیتابیس یا ... با encode html وارد کنید .
موفق باشید
moferferi
پنج شنبه 13 مرداد 1390, 12:41 عصر
سلام
برای استفاده از TinyMCE هم باید ValidateRequest غیر فعال کرد؟
jaykob
پنج شنبه 13 مرداد 1390, 12:45 عصر
سلام
برای استفاده از TinyMCE هم باید ValidateRequest غیر فعال کرد؟
سلام
بله کلا tinymce و fckeditor و ckeditor و ... جاوا اسکریپت هستند و اگر ValidateRequest فعال باشه ادیتور ها لود نمی شوند
mohsen.nsb44
شنبه 22 مرداد 1390, 11:47 صبح
سلام دوست عزیز
شما زمانی ValidateRequest رو غیر فعال می کنید در معرض خطر حمله xss قرار می گیرید که همان cross site scripting هست با استفاده از این حمله کد های جاوا اسکریپت قابلیت اجرا دارند و اطلاعات بدون تایید اعتبار رد و بدل می شوند که توضیحات زیادی داره برخی از عواقب دزدیدن کوکی ها است . در نسخه های قدیمی دات نت با null کردن می شد این مسئله رو bypass کرد اما این مشکل بر طرف شد . بهترین گزینه برای استفاده TinyMCE هست چون fckeditor در تمامی ورژن ها باگ داره . TinyMCE هم بسیار سبک هست و هم امن شما می تونید حالت فشارده سازی رو هم داخلش فعال کنید که سرعت خیلی سریع تر بشه . در صفحه ای که از ادیتور استفاده می کنید کادر سرچ و کادر هایی که اطلاعات رو ترانسفر می کنند به دیتابیس یا ... با encode html وارد کنید .
موفق باشید
دوست عزیز شما فرمودید در نسخه های قدیمی دات نت با null کردن می شد این مسئله رو bypass کرد اما این مشکل بر طرف شد یعنی در نسخه مثلا 2008 این مشکل وجود نداره؟
زمانی که از کوکی استفاده نمیشه و صفحه هایی که ادیتور داخلشه رو پوشه اون رمز گزاشته بشه باز میشه مورد حمله Xss قرار داد
بیشتر توضیح میدم صفحه های من که از ادیتور استفاده شده داخل یک پوشه هست که فقط مدیر سایت با داشتن کلمه عبور و نام کاربری میتونه وارد بشه
حال باز هم میتونه مورد حمله xss قرار بگیره
Saman Hashemi
شنبه 22 مرداد 1390, 12:36 عصر
بله کلا tinymce و fckeditor و ckeditor و ... جاوا اسکریپت هستند و اگر ValidateRequest فعال باشه ادیتور ها لود نمی شوند
مطمئني tiny mce اينجوريه...؟تا اونجايي كه يادم حسن اين اديتور اين بود كه نمي خواست validation request=false كرد...!:متفکر:
منظورت اينه كه فقط توي پنل مديريت اديتور داري؟
mohsen.nsb44
شنبه 22 مرداد 1390, 13:09 عصر
مطمئني tiny mce اينجوريه...؟تا اونجايي كه يادم حسن اين اديتور اين بود كه نمي خواست validation request=false كرد...!:متفکر:
منظورت اينه كه فقط توي پنل مديريت اديتور داري؟
بله فقط توی پنل مدیریت ادیتور دارم با این حال باز میشه مورد حمله xss قرار داد سایت منو؟
Saman Hashemi
شنبه 22 مرداد 1390, 13:16 عصر
بله فقط توی پنل مدیریت ادیتور دارم با این حال باز میشه مورد حمله xss قرار داد سایت منو؟
نگران ايني كه هكر رفت تو پنل مديريتت حمله xss بهت نكنه...؟:متفکر:
مطمئن باش كار به اونجا بكشه ديگه سراغ اين شيوه نميره چون مدير سايت شده ديگه...!
جلوگيري از xss در اديتور بيشتر براي موقعي استفاده ميشه كه كاربر عمومي به اين اديتور دسترسي داشته باشه(مثل همين سايت) اون وقت بهترين شيوه فكر كنم استفاده از html encod (http://www.dotnetperls.com/encode-html-string)e ميباشد...!
javad.nic63
شنبه 22 مرداد 1390, 14:51 عصر
html encode فقط به درد تکس باکس ها میخوره. چون میاد کد html را encode می کنه که خوبه. ولی برای ادیتور ما نباید کد html را encode کنیم. اگه این کار رو بکنیم اطلاعاتمون خراب میشه. برای این موضوع باید چکار کرد؟
mohsen.nsb44
شنبه 22 مرداد 1390, 17:18 عصر
نگران ايني كه هكر رفت تو پنل مديريتت حمله xss بهت نكنه...؟:متفکر:
مطمئن باش كار به اونجا بكشه ديگه سراغ اين شيوه نميره چون مدير سايت شده ديگه...!
جلوگيري از xss در اديتور بيشتر براي موقعي استفاده ميشه كه كاربر عمومي به اين اديتور دسترسي داشته باشه(مثل همين سايت) اون وقت بهترين شيوه فكر كنم استفاده از html encod (http://www.dotnetperls.com/encode-html-string)e ميباشد...!
دوست عزیز هکر محترم نمیتونه وارد پوشه من بشه اگر شد به قول شما میشه مدیر سایت
سوال من اینه صفحه های مدیریت من که ادیتور توشه و کسی جز مدیر سایت دسترسی به اون رو نداره میتونه مورد حمله xss قرار بگیره یا نه؟؟؟؟
vBulletin® v4.2.5, Copyright ©2000-1404, Jelsoft Enterprises Ltd.