Új hozzászólás Aktív témák
-
Taci
addikt
válasz
sztanozs #20787 üzenetére
Arra gondoltam, megcsinálom azt, hogy szűröm az adott kontextusban rosszindulatúnak számító kifejezésekre, és ha van benne ilyen, akkor megpróbálom "tisztítani" (vagy simán csak skip, mert ha már "fertőzött", akkor valid tartalomrész amúgy sem nagyon lesz benne).
Pl. ha kép linkjét várom, akkor abban nem lehet javascript, onerror, onfocus stb.
Viszont mivel nem csak a
javascript:alert('Hacked!')
valid, hanem ajAvascript:alert('Hacked!')
is, ezért így gondoltam az ellenőrzés (egy részét) megcsinálni:if (stripos(htmlspecialchars_decode($linkToCheck), $dirty_content) !== FALSE){
echo "XSS-találat!";
}
Ettől azt várnám, hogy ha
$linkToCheck = "jAvascript:alert('Hacked!')";
akkor ahtmlspecialchars_decode
ezt visszaírjajAvascript:alert('Hacked!')
-re,
astripos
pedig mivel case insensitive, így ha arra keresek, hogy "javascript:"$dirty_content = "javascript:";
akkor sikerül elkapni.De nem, a _decode nem, vagy nem úgy működik, ahogy várnám, és találatot itt továbbra is csak akkor ad, ha a speciális HTML entity-re keresek, pl.:
jA
Mit rontok el?
Új hozzászólás Aktív témák
- Mozilla Firefox
- Mibe tegyem a megtakarításaimat?
- ASUS Vivobook Snapdragonnal: talán egy új korszak kezdete!
- Milyen légkondit a lakásba?
- BestBuy topik
- Kerékpárosok, bringások ide!
- Vicces képek
- Intel Core i5-7640X / i7-7740X "Kaby Lake-X" és i9-7xxx "Skylake-X" (LGA2066)
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Lamborghini – Lian Li együttműködés
- További aktív témák...
- iphone 14 Pro Max 128gb, független, makulátlan, 100% akku
- iphone 15 Pro Max 256gb Natur Titanium,független,bontatlan
- ÚJ Bontatlan APPLE MACBOOK AIR 13 - M2 (MLY33MG/A) ÉJFEKETE - 8GB/256GB SSD- Magyar - 3 év Garancia
- Corsair RM850x Gold Moduláris Tápegység 850W
- Acer Aspire 5 - 15.6" IPS, I7-1165G7, 16 DD4 / 1024 GB NVMe +szla! +GARANCIA!