html injection چیست؟ [بایگانی]

esmahdi

یک شنبه 14 اسفند 1390, 19:06 عصر

سلام علیکم
html injection چیه؟
چه طوری میشه ازش جلوگیری کرد؟
چقدر جدیه؟

narsic

دوشنبه 15 اسفند 1390, 23:13 عصر

اسم صحیح این روش XSS Injection هستش و به صورت معمول کار های زیادی نمیشه درش انجام داد اما در هر صورت به عنوان یک ضعف امنیتی در سیستم تلقی میشه.
در این روش هکر فقط میتونه به بخش کاربری سیستم شما حمله کنه (یعنی Client Side) یعنی فقط میتونه با کمکم جاوا اسکریپت حمله رو انجام بده و این تغییرات تنها برای خود هکر قابل مشاهده هستند و اگه نوع آسیب به صورت Query String باشه (URL String) میتونه با اشتراک گذاری لینک اون آسیب رو به اشتراک بزاره در غیر این صورت اگه آُیت در فرمی باشه که با روش POST ثبت میشه تنها با راهنمایی میتونه آسیب رو منتشر کنه. در تمام موارد هم این آُیب تنها برای کسی که آسیب رو میشناسه قابل دیدن هستش نه برای همه ی کاربران.
موفق باشید

hobab-theme

شنبه 20 اسفند 1390, 19:47 عصر

یکی از بهترین راه ها برای جلوگیری از حملات XSS Injection (نه بطور 100%) مراقبت و مانیتورینگ در ورودی ها است. در صورتی که اطلاعاتی را از طریق فرم ها از کاربران میگیرید حتما قبل از ارسال اون به بانک اطلاعات، داده ها رو کد کنید و زمانی که لازم به نمایش آنها دارید ، دی کد کنید.

narsic

یک شنبه 21 اسفند 1390, 00:24 صبح

یکی از بهترین راه ها برای جلوگیری از حملات XSS Injection (نه بطور 100%) مراقبت و مانیتورینگ در ورودی ها است. در صورتی که اطلاعاتی را از طریق فرم ها از کاربران میگیرید حتما قبل از ارسال اون به بانک اطلاعات، داده ها رو کد کنید و زمانی که لازم به نمایش آنها دارید ، دی کد کنید.
این روشی که شما گفتید روش حمله میشه SQL Injection و این راه حل هم راه حل خوبی نیست چون شما با کد کردن اطلاعات و ذخیره اون ها در دیتابیس خوانایی پروژه رو کم میکنید (برای خوندن مستقیم در SQL نیازه که کاربر برنامه دکودر شما رو داشته باشه) بهتره فقط پارامتر های غیر مجاز رو از بین ببرید و بعد از اطلاعات در بانک اطلاعاتی استفاده کنی.
موفق باشید

alonemm

یک شنبه 21 اسفند 1390, 17:24 عصر

باسلام:

در این مورد باید گفت بهتره که از ورودی ها از جمله POST و GET رو با یک تابع که بسته به زبان برنامه نویسی که ازش استفاده میکنید میتونید سالم سازی کنید.