Autor | Zpráva | ||
---|---|---|---|
Nikdonic Profil * |
#1 · Zasláno: 10. 10. 2013, 14:54:56
Ahoj, dá se neužít možnost použití těchto tagů v komentářích: "<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> "
|
||
Str4wberry Profil |
#2 · Zasláno: 10. 10. 2013, 14:58:38
Jaké zneužití myslíte?
|
||
Nikdonic Profil * |
#3 · Zasláno: 10. 10. 2013, 15:13:19
Například takové, že by mi pomocí toho někdo mohl třeba "hacknout" stránky, cokoli co by mohlo vést ke ztrátě nebo poškození dat.
<p class="comment-form-comment"> <label for="comment">Komentář</label> <textarea id="comment" aria-required="true" rows="8" cols="45" name="comment"></textarea> </p> |
||
margin Profil * |
#4 · Zasláno: 10. 10. 2013, 15:38:19
Klasika je XSS zranitelnost, máš "hacknuté stránky", aniž by došlo k poškození dat.
|
||
Str4wberry Profil |
#5 · Zasláno: 10. 10. 2013, 15:38:32
Risika spojená s možností vkládat na stránku komentáře jsou zhruba následující.
1) Vložení škodlivého JavaScriptu — tomu by omezení atributů mělo zabránit. 2) Rozbití HTML kódu. Nebude-li se důsledně kontrolovat uzavření tagů a atributů, může se stránka rozbít. To je ale risiko spíš estetické. Existují hotové nástroje pro ošetření HTML kódu. 3) Narušení SQL dotazu. To není závislé na povolených HTML značkách, ale na ošetření celého řetězce, který se ukládá do databáse. 4) Asi poslední risiko je vložení odkazu (popř. obrázku), které provede nějakou změnu v administraci, když na odkaz nic netušící přihlášený administrátor klikne. |
||
Nikdonic Profil * |
#6 · Zasláno: 11. 10. 2013, 10:59:16
Ok dík moc to mi pomohlo
|
||
Časová prodleva: 11 let
|
0