Басни о куках

[freeman85]

ну ведь не только сообщения нужно фильтровать. Ну ведь используют же мод

------------------

не могу найти тему, в ней кто-то выложил мод... где также вырезал коментарии типа <!-- -->, а после уже клиенту(браузеру) выдавалась страница............. т.е. тогда он экономил трафик.

------------------

 

и сам я им пользуюсь, вот только не знаю......... будет ли это тем же самым или вообще как это сделать =)

 

Если это будет будет не накладно, то это очень эффективный метод против краж кук.

[xRay]

парсером выдрать все document.cookies

Это не единственный путь упереть куки

засунуть ссылку на картинку которая не картинка а снифер

н.р. аватарку хитрую засунут... или в подпсь картинку прилепят (если картинки в подписи не заперщены)

А да чуть не забыл оказывается можно пропихнуть нужное ключевое слово разделив буковки табом...

 

Вообщем, проблема глобальная и требует решения.

Отказатся от куков мы можем? В принципе да, но чем это для нас черевато?...

Можно еще вместо обычной авторизации HTTP авторизацию заюзать. Но как вы и сами понимаете это все дополнительные неудобства для конечного пользователя вызовет...

[freeman85]

а в php(помоему из GD) есть функция которая проверяет какого формата(не расширения, а формата) картинка она не поможет?

хотя скорее всего грузить будет не подецки

 

а вот кстати ссылка с phpclub

 

в принцепе:

- картинки в сообщениях запретить

- аватары не более 50кб, на странице их не более 10-15

- в подписи, картинки запретить

 

остаются аттачменты, ну их при аплоде проверять

[Valera]

---------

засунуть ссылку на картинку которая не картинка а снифер

---------

Это ничего не даст, так как лже картинка вне домена сайта, поэтому в таком случае куков не выудить, только тип браузера и айпишник.

 

--------

Отказатся от куков мы можем?

--------

Можем, любой браузер помнит, логины и пароли которые уже набирались, придется только давить сабмит.

[xRay]

Это ничего не даст, так как лже картинка вне домена сайта, поэтому в таком случае куков не выудить, только тип браузера и айпишник.

не а погляди как снифер античата пашет

куки тащит только так

[cthulhu]

Это ничего не даст, так как лже картинка вне домена сайта, поэтому в таком случае куков не выудить, только тип браузера и айпишник.

не а погляди как снифер античата пашет

куки тащит только так

там используется яваскрипт, который довешивает куку как параметр, посмотри примеры вставления сниффера на их же сайте...

[Song]

Решение профильтровать вывод и убрать document.cookie в принципе тянет, но как быть если в посте это нужно будет написать?

[freeman85]

в бд, когда оно еще в html сделать обрамление <a></a>, а при передаче в пост(вывод на форуме) убрать обрамление и все

 

Добавленоо:

а нет, не получится... чет я загнул

Изменено 30 Апреля 2006 пользователем freeman85

[nafigator]

Решение профильтровать вывод и убрать document.cookie в принципе тянет, но как быть если в посте это нужно будет написать?

Часть букв "o" и "e" переводить в кириллицу.

Правда тут пострадают те, кто любит копипастить...

[Song]

можно и так.

Но добавить поле, устанавливать его в 1.

 

А в Topics.php при выводе поста с этим установленным полем добавлять в подпись, что в "document.cookie" изменена буква..

 

Кстати тогда при "удачном" сломе будет ошибка ява-скрипта

 

ну так чего кто-нибудь пробовал поставить в антимат?

[cthulhu]

у нас в антимате с давних пор стоит document, cookie, eval, и еще несколько стандартно используемых в ХСС слов, но в нужный момент это не помогло... антимат, по-моему, просто не заменял слова, находящиеся внутри вложеных и, соответственно, поломанных ББ-тегов, с помощью которых ХСС обычно втыкали...

главное, что очень часто можно вместо букв писать их десятичные или шестнадцатиричные коды, вставлять символы табуляции и проч....

 

короче, антимат поможет только от тех юных хаЦкеров, у которых ай-кью вообще отрицательный...

вот если бы туда регэкспы можно было вставлять(кстати, есть такой мод?), может, еще был толк, да и то вряд ли...

[Neo[CCCP]]

Разрешить динамические изображения? - нет.

Сбрасывать ключ авторизации пользователей при каждом входе? - да.

Длительность сессии (в секундах) - 600

Проверять IP адреса пользователей при проверке сессий - да.

Проверять USER_AGENT браузера пользователя? - да.

 

И в топку все ваши рассуждения. Жалобы от пользователей были только о том, что приходится логинится с работы и дома(и.т.п.) отдельно каждый раз. Объяснил, что сделано ради безопасности. Больше вопросов не было.

По статистике на хостинге, 78% посетителей – не модемщики. Средняя посещаемость сайта 350 уников.

Хотя думаю, нужно сначала выводить такую статистику, и уже исходя из результатов, выбирать ту или иную схему безопасности.

[Arhar]

предлагайте мод по фильтрации document.cookie ВЕЗДЕ

это не будет лишним

[Song]

В парсере видимо...

[Song]

Ок, сегодня напишу мод для document.cookie

[xRay]

Neo[CCCP]

то что ты описал это в 2.1.х вроде

в 2.-.х не все опции эти есть

[FatCat]

а сейчас нам нужно чтобы браузеру не передлось сочетание слов document.cookies.

 

попытайтесь хоть понять что я говорю, не ужели сложно

Давным-давно добавил себе в парсер подмену английских букв одинаково выглядящими русскими в слове "джаваскрипт".

Такое решение не проще будет?

ИМХО, спасет не только от утягивания куков, но и от любого внедрения джаваскрипта.

Единственная беда - если выкладываешь программные коды, копи-пасте кодов даст нерабочий код, придется руками перебивать.

[freeman85]

FatCat ты отдельно парсишь элементы (подпись сообщения и др.)

или только сообщение?

[FatCat]

FatCat ты отдельно парсишь элементы (подпись сообщения и др.)

или только сообщение?

Добавил строку в post_parser.php

// Start off with the easy stuff

		$txt = preg_replace( "#javascript#is", "jаvаscript", $txt );

Выглядит одинаково, но справа половина букв русские

 

Сообщения парсятся при отправке и отпарсеные ложатся в БД. Подписи и текст в личке парсятся при выводе, в БД лежат исходные. Это не я так сделал, это в движке так.

[freeman85]

смотри: Жav

ascript:alert('XSS') а это он не пропускает?

 

 

блин, никак не могу показать пример, не пропускае 8)

Изменено 9 Мая 2006 пользователем freeman85

[xRay]

А вариант когда чреез таб написаны буквы?

н.р. так

j a v a s c r i p t

[Song]

А зачем "javascript" блокировать? Я думаю может ещё пригодится.

alert сам по себе ничего не даст т.к. высвечивает модальное окно, которое вы увидите только сами.

 

Вот смотрите, я сделал так: http://www.sysman.ru/index.php?showtopic=2...indpost&p=37988

Правда надо ещё опробовать. Вот думаю, мож теперь пару сплойтов обнажить что ли, чтобы попробовать

 

фильтр надо ставить не в парсер, т.к. парсер фильтрует не всё. Фильтр надо ставить в class FUNC :: function clean_value()

 

вот там действительно фильтруется и всё. В т.ч. и то, что пройдёт в парсер.

[freeman85]

Song, круто... 99% дырок идут обратно лес, когда выложишь на показ? =)

[Song]

Когда протестю.. тут правда и выкладывать-то сильно нечего

 

кто-нить скажите мне как ещё браузеры могут куки выдать кроме document.cookie? Может пробелы между буквами для каких-то не играют роли? Ну короче всю инфу, что знаете, подгоняйте, для вас же самих нужно.

[freeman85]

работает также если ставить табуляцию, блин и пробелы тоже

 

document. cookie

document .cookie

document . cookie

 

также

 

document

. cookie

document .

cookie

document

.

cookie

 

с табуляциями и безз... ппц короче))

Изменено 9 Мая 2006 пользователем freeman85