Защита от XSS

@mack_91 · Регистрация: 15.08.2012

Студворк — интернет-сервис помощи студентам

Привет всем. Нашел в инете сканер XSS прошелся по сайту на локалхосте и он мне выдал уязвимости типа:
XSS - http://localhost/'"><script>document.write(12358132134 );</script><"'

Когда тестирую на серваке, то уязвимостей вроде бы и нет. При ручном вводе ссылки в адресную строку появляется ошибка 404.

Если в локалхосте ввожу ссылку, то появляется сообщение типа:
Forbidden
You don't have permission to access /'">12358132134<"' on this server.
Подсказка Денвера
Возможные причины ошибки:
...

Опасно ли это и как это исправить? сайт на Yii

Vovan-VE · 27.03.2013, 16:26

Само собой, переходить по такому ардесу смысла нет.

Может, где-то в атрибуте у HTML-элемента выводится текущий адрес без преобразований в HTML?

PHP
1
2
3
Плохой код:
<a href="<?= $_SERVER['REQUEST_URI'] ?>">
<form action="?<?= $_SERVER['QUERY_STRING'] ?>">

@mack_91 · 27.03.2013, 17:12 **[ТС]**

На странице есть форма

HTML5
1
2
3
<form action="/" method="post">
<div style="display:none"><input type="hidden" value="e10507310de012ee0f3511c8fa26a76431e7872a" name="YII_CSRF_TOKEN" /></div>
</form>

А в исходнике генерируется так:

PHP
1
2
<?php echo CHtml::beginForm(); ?>
<?php echo CHtml::endForm(); ?>

Когда сканером прохожу, то в action="/" появляется этот JavaScript

Добавлено через 39 минут
Если быть точнее, то при запросе с JS

HTML выглядит так:

HTML5
1
2
3
<form action="/%22%3E%3Cscript%3Edocument.write(12358132134);%3C/script%3E%3C%22%27" method="post">
<div style="display:none"><input type="hidden" value="e10507310de012ee0f3511c8fa26a76431e7872a" name="YII_CSRF_TOKEN" /></div>
</form>

Мне кажется, что это безопасно. Верно?

Vovan-VE · 27.03.2013, 18:04

mack_91, А потом после отправки всё это борохло аналогичным образом не выводится куда-нибудь в оригинальном виде?

@mack_91 · 27.03.2013, 19:13 **[ТС]**

Такой же экшен прописывается и для формы авторизация. Но входе на сайт, авторизация проходит успешно и ничего вроде не выплывает в оригинальном виде. Но хотелось бы конечно сделать так, чтобы в экшене эта дрянь не прописывалась. Возможно ли это?

@upfly · 27.03.2013, 21:51

Не советую пользоваться сканерами

частенько были случаи,когды они выдавали дыру там,где её и быть не может

@mack_91 · 27.03.2013, 21:53 **[ТС]**

Сообщение от upfly

Не советую пользоваться сканерамичастенько были случаи,когды они выдавали дыру там,где её и быть не может

Это понятно, что человеческую голову они не заменят, но это пока временное решение.

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: показать затраченные материалы за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В качестве. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

@mack_91 121 / 66 / 9 Регистрация: 15.08.2012 Сообщений: 266

	Защита от XSS 27.03.2013, 16:20. Показов 2004. Ответов 6 Метки нет (Все метки) Привет всем. Нашел в инете сканер XSS прошелся по сайту на локалхосте и он мне выдал уязвимости типа: XSS - http://localhost/'"><script>document.write(12358132134 );</script><"' Когда тестирую на серваке, то уязвимостей вроде бы и нет. При ручном вводе ссылки в адресную строку появляется ошибка 404. Если в локалхосте ввожу ссылку, то появляется сообщение типа: Forbidden You don't have permission to access /'">12358132134<"' on this server. Подсказка Денвера Возможные причины ошибки: ... Опасно ли это и как это исправить? сайт на Yii 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	27.03.2013, 18:04
	mack_91, А потом после отправки всё это борохло аналогичным образом не выводится куда-нибудь в оригинальном виде? 0

@mack_91 121 / 66 / 9 Регистрация: 15.08.2012 Сообщений: 266
	27.03.2013, 19:13 [ТС]
	Такой же экшен прописывается и для формы авторизация. Но входе на сайт, авторизация проходит успешно и ничего вроде не выплывает в оригинальном виде. Но хотелось бы конечно сделать так, чтобы в экшене эта дрянь не прописывалась. Возможно ли это? 0

@upfly Доброжелательный пушистик 92 / 55 / 35 Регистрация: 07.06.2012 Сообщений: 307
	27.03.2013, 21:51
	Не советую пользоваться сканерамичастенько были случаи,когды они выдавали дыру там,где её и быть не может 0

Опции темы