Gå til innhold

Cross Site Scripting

stebot

Av stebot
i Programmering og webutvikling

Anbefalte innlegg

stebot

stebot

Skrevet
Skrevet

Jeg har en site som er blitt hacket og brukt til å sende spam fra.

Dette er koden på en PHP fil jeg har, trenger en funksjon for å sjekke innholdet i ShowFile og ShowLink som får verdi inn via Cross Site Scripting.

 

Slik er linken incfile.php?P=enverdi

 

<link href="../style.css" rel="stylesheet" type="text/css">

<?php $ShowLink = $ShowFile."_link.htm"; ?>

<?php $ShowFile = $ShowFile.".htm"; ?>

<body vlink="#CC0000" class="incbody">

<div class="inc">

<br>

 

<?php include($ShowFile); ?>

<br>

<?php If (($ShowFile == "addison.htm") OR ($ShowFile == "akromegali.htm") OR ($ShowFile == "cushing.htm") OR ($ShowFile == "ags.htm"))

{

include($ShowLink);

}

?>

</div>

 

Dette er en usikker kode og må ha en funksjon for å se hva den strenger som kommer inn fra linken inneholder, enten tall eller små eller store bokstaver.

Videoannonse

Videoannonse
Annonse
xqus

xqus

Skrevet
Skrevet

Du kan jo gjøre noe slikt..

Vanskelig å si hva som er fornuftig å gjøre siden jeg vet lite hvor mange forskjelige sider du har, og hva du egentlig prøver å oppnå.

 

<?php

switch($_GET['P']) {
   case 'enside':
       include('enside.htm');
       include('enside_link.htm');
   break;
   
   case 'annenside':
       include('annenside.htm');
       include('annenside_link.htm');
   break;
}

?>

stebot

stebot

Skrevet
  • Forfatter
Skrevet
Du kan jo gjøre noe slikt..

Vanskelig å si hva som er fornuftig å gjøre siden jeg vet lite hvor mange forskjelige sider du har, og hva du egentlig prøver å oppnå.

 

<?php

switch($_GET['P']) {
   case 'enside':
       include('enside.htm');
       include('enside_link.htm');
   break;
   
   case 'annenside':
       include('annenside.htm');
       include('annenside_link.htm');
   break;
}

?>

7069542[/snapback]

 

Siden er blitt hacket med at en kan lime inn et javascript isteden for f.eks. "incfil.php?P=addison" så blir det slik: "incfile.php?P<script language=javascript>window.location=

http://www.evilsite.com”;</script>"

 

og da blir en nødt til å lage til en funksjon som kan sjekke at det ikke er ugyldige tegn "/:<>" når det bare skal godtas bokstaver i den verdien... det er dette som er skjedd på sidene.

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...