PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Nesanatizováné výstupy

https://pc-help.cnews.cz/viewtopic.php?f=11&t=108375

Stránka 1 z 1

Nesanatizováné výstupy

Napsal: 05 kvě 2013 22:38
od AntonioSpeedy
Zdravím PC-Help potřeboval bych pomoct s tímto, napsaly my to na naš web a nevím co si mám myslet, kde hledat a jak opravit.

Kód: Vybrat vše

Takže nahlašuji bug o tom že nejsou ošetřené výstupy z DB.
Resp. do výstupu můžu napsat co chci v HTML, problém je v tom, že nejsou ošetřené kritické tagy jako jsou "script", "iframe", "link", apod.
Je tedy možné vložit nebezpečné HTML tagy do stránky, můžou obsahovat například JS a v tom "lepším" vám jen přepíšou CSS.

Podle mě je to kritická chyba...

Re: Nesanatizováné výstupy

Napsal: 05 kvě 2013 22:47
od CZechBoY
Zdravím,
na stránce máš nejspíš XSS
vstupy stačí ošetřit funkcí htmlspecialchars, ale lepší je podle kontextu použít funkci
Časové pásmo: UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/