Форум → Программирование → PHP для идиотов → Логи скуль атак и немного XSS
Логи скуль атак и немного XSS
-
Всем привет!
На днях, собираюсь выложить ссылку на мой проект. Идет альфа тест форума и оценка дизайна самого сайта. Буду рад любым находкам уязвимостей, недочетов и прочей херни) Жду срача)
Сейчас активно работаю над защитой форума от скуль инъекций. Все привожу к типам. Обрабатываю все запросы. Осталось для меня лишь пока два невыясненных вопроса.
Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
Вопрос2: Стоит ли отключить функцию добавления и отображения url ссылки на форуме, для предотвращения перехода на внешние вредоносные скрипты?
Касательно второго вопроса, я конечно, мало осведомлен. Знаю напимер, что при переходе на ссылку с изображением, можно легко наткнуться на вредоносный скрипт и злоумышленник может своровать кукисы для входа в систему. Или я что то путаю. Осведомите беднягу) -
Дек. 24, 2009, 7:27 п.п., спустя 2 минуты 59 секунд
Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
Чтобы наверняка?
Где URL? -
Дек. 24, 2009, 7:31 п.п., спустя 4 минуты 44 секунды
Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
Чтобы наверняка?
Где URL?
Что бы как в передаче "Что? Где? Когда?" + "Кто? Как? Зачем?", знать)
Урла… Я имел ввиду, при добавление сообщения на форум, у меня есть кнопочка, при нажатии, на которую, добавляется тег <url>ссылка</url> , ну и соответственно можно перейти по этой ссылке. А если злоумышленник добавит не ссылку на пыху.ру, а на вредоносный скрипт, для кражи кукисов например? Об этом речь… вот)) -
Дек. 24, 2009, 7:33 п.п., спустя 1 минуту 26 секунд
бей в ребро!Спустя 64 сек.кукисы никак не своровать, перейдя на чужой сайт это 100%. ну не считая дыры с флешем) про которую недавно писалиСпустя 16 сек.жру роллы и суши)Сапожник без сапог -
Дек. 24, 2009, 7:34 п.п., спустя 47 секунд
3 человека будет у Вас на форуме? Эти логи польезной информации не будут нести.Вопрос1: Можно ли, и если как, записывать в бд все , что было введено в адресную строку?
Чтобы наверняка?
Где URL?
Что бы как в передаче "Что? Где? Когда?" + "Кто? Как? Зачем?", знать)
Урла… Я имел ввиду, при добавление сообщения на форум, у меня есть кнопочка, при нажатии, на которую, добавляется тег <url>ссылка</url> , ну и соответственно можно перейти по этой ссылке. А если злоумышленник добавит не ссылку на пыху.ру, а на вредоносный скрипт, для кражи кукисов например? Об этом речь… вот))На днях, собираюсь выложить ссылку на мой проект. Идет альфа тест форума и оценка дизайна самого сайта. Буду рад любым находкам уязвимостей, недочетов и прочей херни) Жду срача)
К этому: где URL?
-
Дек. 24, 2009, 7:38 п.п., спустя 4 минуты 33 секунды
to Ewg777: Ссылку скоро выложу. Касательно 3-х человек… ммм… я ожидаю немного больше. Это проект браузерной игры. Поэтому хочу вести лог. Киньте сылку где почитать, если в лом объяснять) Я не ленивый, почитаю)
to phpdude: Суши и роллы я тоже люблю) И кста, а как же всем известные сайты, где можно зарегаться и выкладывать изображение на левый сайт, с ссылкой на него. Потом заходишь и читаешь кто по ссылке переходил и его кукисы? -
Дек. 24, 2009, 7:39 п.п., спустя 54 секунды
тогда почитай про apache access_log тебе этого хватит с головой ;)
to Ewg777: Ссылку скоро выложу. Касательно 3-х человек… ммм… я ожидаю немного больше. Это проект браузерной игры. Поэтому хочу вести лог. Киньте сылку где почитать, если в лом объяснять) Я не ленивый, почитаю)
to phpdude: Суши и роллы я тоже люблю) И кста, а как же всем известные сайты, где можно зарегаться и выкладывать изображение на левый сайт, с ссылкой на него. Потом заходишь и читаешь кто по ссылке переходил и его кукисы?
ну и бекапить этот файлик раз в сутки в табличку для последующего анализа.Сапожник без сапог -
-
Дек. 24, 2009, 7:43 п.п., спустя 2 минуты 53 секунды
на лету инсертить такие данные - мозг себе и серверу ебать.
to phpdude: Спасибо, однако, круто)
а раз в сутки берем файлик, приводим к ксв виду и заливаем через load data from 'path' into access_log и все нах :)
по 50к строк в секунду заливается в одной транзакции, никаких тормозов и прочих прелестей.Сапожник без сапог -
Дек. 24, 2009, 9:18 п.п., спустя 1 час 34 минуты 38 секунд
К слову: про защиту надо думать сразу, а не когда запускать хочеш, после секса призервативом не машут ;)
Пожалуйста, авторизуйтесь, чтобы написать комментарий!