Защита от XSS

@mack_91 · Регистрация: 15.08.2012

Студворк — интернет-сервис помощи студентам

Привет всем. Нашел в инете сканер XSS прошелся по сайту на локалхосте и он мне выдал уязвимости типа:
XSS - http://localhost/'"><script>document.write(12358132134 );</script><"'

Когда тестирую на серваке, то уязвимостей вроде бы и нет. При ручном вводе ссылки в адресную строку появляется ошибка 404.

Если в локалхосте ввожу ссылку, то появляется сообщение типа:
Forbidden
You don't have permission to access /'">12358132134<"' on this server.
Подсказка Денвера
Возможные причины ошибки:
...

Опасно ли это и как это исправить? сайт на Yii

Vovan-VE · 27.03.2013, 16:26

Само собой, переходить по такому ардесу смысла нет.

Может, где-то в атрибуте у HTML-элемента выводится текущий адрес без преобразований в HTML?

PHP
1
2
3
Плохой код:
<a href="<?= $_SERVER['REQUEST_URI'] ?>">
<form action="?<?= $_SERVER['QUERY_STRING'] ?>">

@mack_91 · 27.03.2013, 17:12 **[ТС]**

На странице есть форма

HTML5
1
2
3
<form action="/" method="post">
<div style="display:none"><input type="hidden" value="e10507310de012ee0f3511c8fa26a76431e7872a" name="YII_CSRF_TOKEN" /></div>
</form>

А в исходнике генерируется так:

PHP
1
2
<?php echo CHtml::beginForm(); ?>
<?php echo CHtml::endForm(); ?>

Когда сканером прохожу, то в action="/" появляется этот JavaScript

Добавлено через 39 минут
Если быть точнее, то при запросе с JS

HTML выглядит так:

HTML5
1
2
3
<form action="/%22%3E%3Cscript%3Edocument.write(12358132134);%3C/script%3E%3C%22%27" method="post">
<div style="display:none"><input type="hidden" value="e10507310de012ee0f3511c8fa26a76431e7872a" name="YII_CSRF_TOKEN" /></div>
</form>

Мне кажется, что это безопасно. Верно?

Vovan-VE · 27.03.2013, 18:04

mack_91, А потом после отправки всё это борохло аналогичным образом не выводится куда-нибудь в оригинальном виде?

@mack_91 · 27.03.2013, 19:13 **[ТС]**

Такой же экшен прописывается и для формы авторизация. Но входе на сайт, авторизация проходит успешно и ничего вроде не выплывает в оригинальном виде. Но хотелось бы конечно сделать так, чтобы в экшене эта дрянь не прописывалась. Возможно ли это?

@upfly · 27.03.2013, 21:51

Не советую пользоваться сканерами

частенько были случаи,когды они выдавали дыру там,где её и быть не может

@mack_91 · 27.03.2013, 21:53 **[ТС]**

Сообщение от upfly

Не советую пользоваться сканерамичастенько были случаи,когды они выдавали дыру там,где её и быть не может

Это понятно, что человеческую голову они не заменят, но это пока временное решение.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@mack_91 121 / 66 / 9 Регистрация: 15.08.2012 Сообщений: 266

	Защита от XSS 27.03.2013, 16:20. Показов 1987. Ответов 6 Метки нет (Все метки) Привет всем. Нашел в инете сканер XSS прошелся по сайту на локалхосте и он мне выдал уязвимости типа: XSS - http://localhost/'"><script>document.write(12358132134 );</script><"' Когда тестирую на серваке, то уязвимостей вроде бы и нет. При ручном вводе ссылки в адресную строку появляется ошибка 404. Если в локалхосте ввожу ссылку, то появляется сообщение типа: Forbidden You don't have permission to access /'">12358132134<"' on this server. Подсказка Денвера Возможные причины ошибки: ... Опасно ли это и как это исправить? сайт на Yii 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	27.03.2013, 18:04
	mack_91, А потом после отправки всё это борохло аналогичным образом не выводится куда-нибудь в оригинальном виде? 0

@mack_91 121 / 66 / 9 Регистрация: 15.08.2012 Сообщений: 266
	27.03.2013, 19:13 [ТС]
	Такой же экшен прописывается и для формы авторизация. Но входе на сайт, авторизация проходит успешно и ничего вроде не выплывает в оригинальном виде. Но хотелось бы конечно сделать так, чтобы в экшене эта дрянь не прописывалась. Возможно ли это? 0

@upfly Доброжелательный пушистик 92 / 55 / 35 Регистрация: 07.06.2012 Сообщений: 307
	27.03.2013, 21:51
	Не советую пользоваться сканерамичастенько были случаи,когды они выдавали дыру там,где её и быть не может 0