Új hozzászólás Aktív témák

• #20821 Taci addikt sztanozs #20820

  Új Válasz 2021-09-21 20:37:02 #20821

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Taci

  addikt

  válasz sztanozs #20820 üzenetére

  Asztali legfrissebb Chrome-ban, Firefox-ban és Operában is néztem, ugyanaz mindenhol. Ami fura, \-rel írva (pl. \047 az aposztróf) már jól fordítja.

  megszünteted az injection lehetőségét
  Pontosan hogyan? Hisz' eddig csak megkönnyítettem a dolgát azzal, hogy nem a böngészőnek kell dekódolnia, nem?

  Mármint itt van példának ez:
  $link = "&#106&#65&#x76&#X41s&#67ri&#80&#84:alert(\047Hacked!')";
  A regexet használva, majd dekódolva a böngészőnek már semmi dolga nincs, mert egyből ezt kapja: jAvAsCriPT:alert('Hacked!')

  Ez hogy szüntette meg az injection lehetőségét?

  Mert eredetileg azért akartam ezt csinálni, hogy megtalálhassam a potenciálisan veszélyes kifejezéseket (javascript, script, onerror stb stb stb - nagyon hosszú lista, de talán megéri), amiknek amúgy semmi keresnivalójuk nincs egy linkben - aztán vagy csak ezeket a talált "rossz" kifejezéseket törölni, vagy az egész linket skippelni. (valószínűleg ez utóbbi)

  De ha csak a decode --> regex --> decode lépéseket csinálom, az hogyan szünteti meg a támadási felületet?

Új hozzászólás Aktív témák