Nesanatizováné výstupy - PC-HELP.CZ

Nesanatizováné výstupy

Moderátoři: Myloš, Mods_senior

2 příspěvky • Stránka 1 z 1

AntonioSpeedy: Level 1; Příspěvky: 96; Registrován: 29 zář 2012 19:12; Bydliště: Heřmanova Hut

Nesanatizováné výstupy

Citovat

Příspěvek od AntonioSpeedy » 05 kvě 2013 22:38

Zdravím PC-Help potřeboval bych pomoct s tímto, napsaly my to na naš web a nevím co si mám myslet, kde hledat a jak opravit.

Kód: Vybrat vše

Takže nahlašuji bug o tom že nejsou ošetřené výstupy z DB.
Resp. do výstupu můžu napsat co chci v HTML, problém je v tom, že nejsou ošetřené kritické tagy jako jsou "script", "iframe", "link", apod.
Je tedy možné vložit nebezpečné HTML tagy do stránky, můžou obsahovat například JS a v tom "lepším" vám jen přepíšou CSS.

Podle mě je to kritická chyba...

CZechBoY: Master Level 9.5; Příspěvky: 8813; Registrován: 20 srp 2008 14:02; Bydliště: Brno; Kontaktovat uživatele:
Kontaktovat uživatele CZechBoY

WWW Skype

Re: Nesanatizováné výstupy

Citovat

Příspěvek od CZechBoY » 05 kvě 2013 22:47

Zdravím,
na stránce máš nejspíš XSS
vstupy stačí ošetřit funkcí htmlspecialchars, ale lepší je podle kontextu použít funkci

PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW

Odpovědět

2 příspěvky • Stránka 1 z 1

Zpět na „Web-tipy a vaše weby“