у менгя такая идея - посколько если в ИБП и находят дыры (очень редно, ОЧЕНЬ... но бывает) - дыры восновном сводяться к краже кукисов админа (через яваскрипт.. ну атм или XSS я точно незнаю как правильно назватт, я не кул_хацкер ).
Так вот - почему бы не сделать такой скрипт:
так как даже если дыра находиться, то работает примерно так:
составляеться сообщение, в нем разными методами но как-то запускают ява-скрипт (например баг со спаренными тегами). так вот - в любом случае запись кода ява-скрипта лежит в БД. Поэтому можно сделать такой скрипт (и повесить на крон... если нету крона - то хостинг безслатный и соотвественно о безопасности там можно и не думать):
поиск в БД в постах, названиях топиков и подписях (именах и т.п) юзеров нестандартных записей.... ну или хотя бы совпадение типа '<script' и сделать запуск скрипта раз в 10 минут. Нагрузки большой это не вызовит, а вот вредоносный код будет удаляться (аа ну да - при нахождении такой бяки - делать делит этого поста, или заменять).
НО может быть я что-то не так понял? я сегодня весь день на работе вкалывал, невероятный завал был, так что может у меня мозги плавяться?
хотя возникает вопрос - что если протсо написать в посте <script>alret('got you;);</script> (ну или как там он правильно выглядит ;() )... то будут делититься ни в чем неповинные топики?
Хотя тогда можно пойти дальше и делать обработку таких сообщений в момент постинга и заносить их в базу не как '<script....' a kak '<script> '...Вообщем если я сейчас говорю бред - удалите топик, пожалуйста )
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
Thorn
Всем приветы,
у менгя такая идея - посколько если в ИБП и находят дыры (очень редно, ОЧЕНЬ... но бывает) - дыры восновном сводяться к краже кукисов админа (через яваскрипт.. ну атм или XSS я точно незнаю как правильно назватт, я не кул_хацкер
).
Так вот - почему бы не сделать такой скрипт:
так как даже если дыра находиться, то работает примерно так:
составляеться сообщение, в нем разными методами но как-то запускают ява-скрипт (например баг со спаренными тегами). так вот - в любом случае запись кода ява-скрипта лежит в БД. Поэтому можно сделать такой скрипт (и повесить на крон... если нету крона - то хостинг безслатный и соотвественно о безопасности там можно и не думать):
поиск в БД в постах, названиях топиков и подписях (именах и т.п) юзеров нестандартных записей.... ну или хотя бы совпадение типа '<script' и сделать запуск скрипта раз в 10 минут. Нагрузки большой это не вызовит, а вот вредоносный код будет удаляться (аа ну да - при нахождении такой бяки - делать делит этого поста, или заменять).
НО может быть я что-то не так понял?
я сегодня весь день на работе вкалывал, невероятный завал был, так что может у меня мозги плавяться? 
хотя возникает вопрос - что если протсо написать в посте <script>alret('got you;);</script> (ну или как там он правильно выглядит ;() )... то будут делититься ни в чем неповинные топики?
Хотя тогда можно пойти дальше и делать обработку таких сообщений в момент постинга и заносить их в базу не как '<script....' a kak '<script> '...Вообщем если я сейчас говорю бред - удалите топик, пожалуйста )
До встречи
Ссылка на комментарий
Поделиться на других сайтах
6 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.