Ik heb mijn site beveiligd op Xss aanvallen e.d. maar hoe kan ik nu testen of het ook daadwerkelijk werkt?
Zou iemand een voorbeeld kunnen geven hoe ik dit kan testen op mijn offline server?
Alvast bedankt,
Ik heb mijn site beveiligd op Xss aanvallen e.d. maar hoe kan ik nu testen of het ook daadwerkelijk werkt?
Zou iemand een voorbeeld kunnen geven hoe ik dit kan testen op mijn offline server?
Alvast bedankt,
Stuur maar een pm, ik kan dit wel voor je testen.
Hoe kan je nu iets beveiligen tegen iets als je niet weet hoe het onveilig was?
Dit is niet mogelijk als je niet weet hoe je deze kan testen:)
Omdat ik nergens een xss beveiliging in de scripts ben tegengekomen. Ik heb nu in de config.php
define('PHP_FIREWALL_REQUEST_URI', strip_tags( $_SERVER['REQUEST_URI'] ) );
define('PHP_FIREWALL_ACTIVATION', true );
if ( is_file( @dirname(__FILE__).'/includes/include_security.php' ) )
include_once( @dirname(__FILE__).'/includes/include_security.php' );
en in de include_security.php staat
maar of het nu werkt weet ik dus niet. En aangezien ik al verschillende topics langs heb zien komen met mensen die xss problemen aantoonde hoopte ik dat hier een directe link voor mogelijk zou zijn om te testen
(ps
staat in ROOT/MAP/includes/include_security.php ik weet niet wat @dirname(__FILE__) etc. inhoud maar ik dacht dat dit goed zou zijn.
Dit soort troep moet je helemaal niet gebruiken om te beveiligen. Je data die je binnen krijgt wordt aan alle kanten bewerkt, terwijl het misschien helemaal niet nodig is.
En misschien helpt het wel tegen XSS (waarschijnlijk wel), maar je hebt er niks aan. Dit is echt de meest slechte manier van beveiligen.
Wat raad je me dan aan? (heb begrepen dat anders alle post onderdelen op eoa wijze moeten worden beveiligd?)
Ja, alle input moet je afzonderlijk beveiligen. Als je een privé bericht binnen krijgt (ik noem maar iets), zorg je dat deze veilig is voor XSS. Als je een ID binnen krijgt zorg je ervoor dat het wel een integer is...
En ga zo maar door.
Oke bedankt. Tot slot (hoop ik) zou je een voorbeeld kunnen geven wat ik moet neerzetten bij mijn post gedeelte?
Oke bedankt. Ik heb nu in enkele script alles geplaatst. als ik nu dit in (bv. kladblok) plaats
<img src="javascript:alert('XSS');">
krijg ik in het kladblok dit te zien
(geen popup maar alleen de tekst zelf)
Betekend dit dat mijn script nu goed is beveiligd?
Superior; als ik dat invoer krijg ik dit als output
<script>alert(\\\'Xss lek gevonden?\\\')</script>
(geen popup oid alleen de tekst in de db)
En op google heb ik hier ook veel over gezocht. Maar aangezien ik niet bekend ben met xss weet ik dus niet zeker of de beveiliging die ik erin zet ook daadwerkelijk goed is
Dan is hij dus veilig.
Mooi zo. Merk alleen dat mijn forum nog problemen ondervindt. Maar zal alles even voor de zekerheid nogmaals doorlopen.
Nogmaals bedankt
Lees dit dan door, dan weet je direct wat er nog meer achter schuilt.
Thx. Had ik idd ook gevonden, snapte het eerst niet helemaal maar wordt zo steeds duidelijker
@killingdevil
Had het over de alert van die melding, waarom denk je dat ik de link mee gaf?
Ben niet van gister hoor.
Citaat van gamecontrolToon MeerOke bedankt. Ik heb nu in enkele script alles geplaatst. als ik nu dit in (bv. kladblok) plaats
PHP<img src="javascript:alert('XSS');">
krijg ik in het kladblok dit te zien
(geen popup maar alleen de tekst zelf)
Betekend dit dat mijn script nu goed is beveiligd?
Het zou handig zijn als die post begrijpelijk zou zijn.
"als ik nu dit in (bv. kladblok) plaats ... krijg ik in het kladblok dit te zien" is namelijk heel duidelijk.
PS. ik houd het trouwens niet voor onmogelijk dat de briljante coding van CP er voor zorgt dat je post zo *kuch* verbeterd *verbeterd* is...
Heb je nog geen account? Registreer je nu en word deel van onze community!