Gå til innhold

Cross Site Scripting

stebot

Av stebot
i Programmering og webutvikling

Anbefalte innlegg

stebot

stebot

Skrevet
Skrevet

Jeg har en site som er blitt hacket og brukt til å sende spam fra.

Dette er koden på en PHP fil jeg har, trenger en funksjon for å sjekke innholdet i ShowFile og ShowLink som får verdi inn via Cross Site Scripting.

 

Slik er linken incfile.php?P=enverdi

 

<link href="../style.css" rel="stylesheet" type="text/css">

<?php $ShowLink = $ShowFile."_link.htm"; ?>

<?php $ShowFile = $ShowFile.".htm"; ?>

<body vlink="#CC0000" class="incbody">

<div class="inc">

<br>

 

<?php include($ShowFile); ?>

<br>

<?php If (($ShowFile == "addison.htm") OR ($ShowFile == "akromegali.htm") OR ($ShowFile == "cushing.htm") OR ($ShowFile == "ags.htm"))

{

include($ShowLink);

}

?>

</div>

 

Dette er en usikker kode og må ha en funksjon for å se hva den strenger som kommer inn fra linken inneholder, enten tall eller små eller store bokstaver.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
xqus

xqus

Skrevet
Skrevet

Du kan jo gjøre noe slikt..

Vanskelig å si hva som er fornuftig å gjøre siden jeg vet lite hvor mange forskjelige sider du har, og hva du egentlig prøver å oppnå.

 

<?php

switch($_GET['P']) {
   case 'enside':
       include('enside.htm');
       include('enside_link.htm');
   break;
   
   case 'annenside':
       include('annenside.htm');
       include('annenside_link.htm');
   break;
}

?>

Lenke til kommentar
stebot

stebot

Skrevet
  • Forfatter
Skrevet
Du kan jo gjøre noe slikt..

Vanskelig å si hva som er fornuftig å gjøre siden jeg vet lite hvor mange forskjelige sider du har, og hva du egentlig prøver å oppnå.

 

<?php

switch($_GET['P']) {
   case 'enside':
       include('enside.htm');
       include('enside_link.htm');
   break;
   
   case 'annenside':
       include('annenside.htm');
       include('annenside_link.htm');
   break;
}

?>

7069542[/snapback]

 

Siden er blitt hacket med at en kan lime inn et javascript isteden for f.eks. "incfil.php?P=addison" så blir det slik: "incfile.php?P<script language=javascript>window.location=

http://www.evilsite.com”;</script>"

 

og da blir en nødt til å lage til en funksjon som kan sjekke at det ikke er ugyldige tegn "/:<>" når det bare skal godtas bokstaver i den verdien... det er dette som er skjedd på sidene.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...