ФорумПрограммированиеPHP для идиотов → Логи скуль атак и немного XSS

Логи скуль атак и немного XSS

  • relictx

    Сообщения: 307 Репутация: N Группа: Адекваты

    Spritz Дек. 24, 2009, 7:24 п.п.

    Всем привет!
    На днях, собираюсь выложить ссылку на мой проект. Идет альфа тест форума и оценка дизайна самого сайта. Буду рад любым находкам уязвимостей, недочетов и прочей херни) Жду срача)

    Сейчас активно работаю над защитой форума от скуль инъекций. Все привожу к типам. Обрабатываю все запросы. Осталось для меня лишь пока два невыясненных вопроса.
    Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
    Вопрос2: Стоит ли отключить функцию добавления и отображения url ссылки на форуме, для предотвращения перехода на внешние вредоносные скрипты?

    Касательно второго вопроса, я конечно, мало осведомлен. Знаю напимер, что при переходе на ссылку с изображением, можно легко наткнуться на вредоносный скрипт и злоумышленник может своровать кукисы для входа в систему. Или я что то путаю. Осведомите беднягу)
  • Ewg777

    Сообщения: 510 Репутация: N Группа: Джедаи

    Spritz Дек. 24, 2009, 7:27 п.п., спустя 2 минуты 59 секунд

    Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
    Чтобы наверняка?
    Где URL?
  • relictx

    Сообщения: 307 Репутация: N Группа: Адекваты

    Spritz Дек. 24, 2009, 7:31 п.п., спустя 4 минуты 44 секунды


    Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
    Чтобы наверняка?
    Где URL?


    Что бы как в передаче "Что? Где? Когда?" + "Кто? Как? Зачем?", знать)
    Урла… Я имел ввиду, при добавление сообщения на форум, у меня есть кнопочка, при нажатии, на которую, добавляется тег <url>ссылка</url> , ну и соответственно можно перейти по этой ссылке. А если злоумышленник добавит не ссылку на пыху.ру, а на вредоносный скрипт, для кражи кукисов например? Об этом речь… вот))
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Дек. 24, 2009, 7:33 п.п., спустя 1 минуту 26 секунд

    бей в ребро!
    Спустя 64 сек.
    кукисы никак не своровать, перейдя на чужой сайт это 100%. ну не считая дыры с флешем) про которую недавно писали
    Спустя 16 сек.
    жру роллы и суши)
    Сапожник без сапог
  • Ewg777

    Сообщения: 510 Репутация: N Группа: Джедаи

    Spritz Дек. 24, 2009, 7:34 п.п., спустя 47 секунд



    Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
    Чтобы наверняка?
    Где URL?


    Что бы как в передаче "Что? Где? Когда?" + "Кто? Как? Зачем?", знать)
    Урла… Я имел ввиду, при добавление сообщения на форум, у меня есть кнопочка, при нажатии, на которую, добавляется тег <url>ссылка</url> , ну и соответственно можно перейти по этой ссылке. А если злоумышленник добавит не ссылку на пыху.ру, а на вредоносный скрипт, для кражи кукисов например? Об этом речь… вот))
    3 человека будет у Вас на форуме? Эти логи польезной информации не будут нести.
    На днях, собираюсь выложить ссылку на мой проект. Идет альфа тест форума и оценка дизайна самого сайта. Буду рад любым находкам уязвимостей, недочетов и прочей херни) Жду срача)
    К этому: где URL?
  • relictx

    Сообщения: 307 Репутация: N Группа: Адекваты

    Spritz Дек. 24, 2009, 7:38 п.п., спустя 4 минуты 33 секунды

    to Ewg777: Ссылку скоро выложу. Касательно 3-х человек… ммм… я ожидаю немного больше. Это проект браузерной игры. Поэтому хочу вести лог. Киньте сылку где почитать, если в лом объяснять) Я не ленивый, почитаю)

    to phpdude: Суши и роллы я тоже люблю) И кста, а как же всем известные сайты, где можно зарегаться и выкладывать изображение на левый сайт, с ссылкой на него. Потом заходишь и читаешь кто по ссылке переходил и его кукисы?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Дек. 24, 2009, 7:39 п.п., спустя 54 секунды


    to Ewg777: Ссылку скоро выложу. Касательно 3-х человек… ммм… я ожидаю немного больше. Это проект браузерной игры. Поэтому хочу вести лог. Киньте сылку где почитать, если в лом объяснять) Я не ленивый, почитаю)

    to phpdude: Суши и роллы я тоже люблю) И кста, а как же всем известные сайты, где можно зарегаться и выкладывать изображение на левый сайт, с ссылкой на него. Потом заходишь и читаешь кто по ссылке переходил и его кукисы?
    тогда почитай про apache access_log тебе этого хватит с головой ;)

    ну и бекапить этот файлик раз в сутки в табличку для последующего анализа.
    Сапожник без сапог
  • relictx

    Сообщения: 307 Репутация: N Группа: Адекваты

    Spritz Дек. 24, 2009, 7:41 п.п., спустя 1 минуту 32 секунды

    to phpdude: Спасибо, однако, круто)
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Дек. 24, 2009, 7:43 п.п., спустя 2 минуты 53 секунды


    to phpdude: Спасибо, однако, круто)
    на лету инсертить такие данные - мозг себе и серверу ебать.

    а раз в сутки берем файлик, приводим к ксв виду и заливаем через load data from 'path' into access_log и все нах :)

    по 50к строк в секунду заливается в одной транзакции, никаких тормозов и прочих прелестей.
    Сапожник без сапог
  • Troy

    Сообщения: 2532 Репутация: N Группа: Джедаи

    Spritz Дек. 24, 2009, 9:18 п.п., спустя 1 час 34 минуты 38 секунд

    К слову: про защиту надо думать сразу, а не когда запускать хочеш, после секса призервативом не машут ;)

Пожалуйста, авторизуйтесь, чтобы написать комментарий!