خطورة تفعيل الـ html ( للمطورين فقط )

[العندليب]

السلام عليكم ورحمة الله وبركاته

الحقيقه طرحت هذا الموضوع في ساحة المنتديات منذ فتره لمناقشة الأخطار التي ممكن أن تأتي من الـ html إذا تم تفعيلها في المنتدى ولكن لم أظهر بنتيجه إيجابيه لذلك أشار لي أحد الأخوان أن أطرح نفس الموضوع في هذه الساحه لعل أن أجد شخص يساندني فيما بدأت .

في البدايه كنت أتعجب من النصيحه التي تقول لا تقم بتفعيل الـ html بالمنتدى ونظرت في الخطوره من تفعيلها ووجدت أن الخطوره تكمن في عدة أوسمه لو إستطعنا فلترتها من المواضيع أو الردود برمجياً لأصبحت الـ html غير خطره على المنتدى نهائياً وهي :

1- خطورة إدخال السكربتات البرمجيه مثل javascript و vbscript ................ الخ
كل لغات السكربتات التي يمكن تضمينها في صفحات الـ html يتم تضمينها عن طريق الأوسمه التاليه:

كود HTML:

<script>
<noscript>
<object>
<param>
<applet>

أمثله على إدخال سكربت:

كود HTML:

<script language='javascript'>
alert('hi');
</script>

كود HTML:

<script>
alert(document.cookie);
</script>

2- تأثيرات الـ dhtml وهي عباره عن دوال يتم إستدعائها عند حدوث حدث معين في الصفحه مثل الضغط على الفأره أو إكتمال تحميل الصفحه ......... الخ
ويتم وضع أكواد من لغات السكربتات المشهوره كالجافاسكربت أو الفي بي سكربت في هذه الدوال لتنفيذ عمل معين ويتم تضمين هذه التأثيرات داخل جميع أوسمة الـ html وهذه التأثيرات كالتالي :
onabort
onblur
onchange
onclick
ondblclick
onfocus
onkeydown
onkeypress
onkeyup
onload
onmousedown
onmousemove
onmouseover
onmouseout
onmouseup
onreset
onselect
onsubmit
onunload

مثال:

كود HTML:

<img scr="images/swalif.gif" onclick="alert(document.cookie);">

هذا المثال يحدث عن الضغط على الصوره حيث يتم تنفيذ السكربت الموجود بتأثير onclick .


لذلك قمت ببرمجة داله لازلت قائماً على تطويرها تقوم بفلترة كل ماذكرته من نقاط على الردود والمواضيع التي تكتب بالـ html .

إذا كانت هذه النقاط لا تكفي في نظركم يا أخوان فرجاءاً إبداء أرائكم مع ذكر أمثله .

والملف المرفق به داله قمت ببرمجتها تستقبل صفحه html وتقوم بعمل فلتره على هذه الصفحه وتستخرج منها الأوسمه الخطره التي ذكرتها ( ليست كلها ولكن أخطرها ).


أرجوا التعاون منكم

تحياتي لكم

[طير شلوى]

السلام عليكم

اخوي العندليب

انا لست من المطورين المحترفين

لكن مريت على الموضوع للأشاده بك وبنفعك لأخوانك

[soso4design]

السلام عليكم كيف حالك عزيزي العندليب
وينك ماتنشاف :> ولا شي
مشتاقين لك
موضوع جميل ,, والدالة قوية مره ماشاء الله عليك



اللهم انفع به المسلمين , ووفقة في دينة ,

جزاك الله خير

خيك : سلطان

[Zizwar]

بارك الله فيك أخي العندليب وقد سبق للأخ رفيع ان طرح نفس الموضوع هنا http://www.swalif.net/softs/showthread.php?t=67464

[عبدالكريم ابو السعود]

فكرة فلترة خاصية ال html في الـvb فكرة مبتكرة و اهنيك عليها
انا اذكر من زمان كنت اعرف عضو في منتدى من المنتديات يستخدمها كنوع من الإمتياز لهذا العضو
الصراحه ما عجبتني زود و السبب ان يمكن استخدامها في تغيير كامل الستايل في الرد
العضو يفرح ان يقدر يستخدم ستايلات خاصه به في ردوده من خلفية gif و غيره
لكن انا كصاحب موقع ما احب ان افتح باب للاعضاء ان يشوهو ستايل المنتدى بإستايلاتهم البدائية في ردودهم مع إحترامي للوقت اللي احتاجوه لإنشاء هذه الستايلات

ممكن لو تضيف في الفلتره <style> و background يكون احسن

[عبدالكريم ابو السعود]

خطرت في بالي فكرة

لو العضو يقوم بالتالي:

كود HTML:

</table>
</body>
</html>

<!-- start of illegal code -->
<?php
code code code
?>

<!-- end of illegal code -->
<html>
<body>
<table>

هل من الممكن تجاوز نظام الفلتره بإستخدامها ؟

[العملاق]

هذي دالة حصلتها في موقع zend تقوم بالشي اللي ذكرته بس بكود مختصر

كود PHP:

function strip_jscript($text) {
    // Strip all of the Javascript in script tags out...
    $text = preg_replace('/<SCRIPT.*?<\/SCRIPT>/ims',"",$text);

    // The following matches any on* events, followed by any amount of space, a' or " some script and then the
    // matching ' or " (the \\2 matches the single or double quote).  Note thatthis regex is
    // in single quotes to alleviate the problem of double quoting specialchars, otherwise the backreferenced 2
    // would be \\\\2 -- which is just silly...
    $text = preg_replace('/on(Load|Click|DblClick|DragStart|KeyDown|KeyPress|KeyUp|MouseDown|MouseMove|MouseOut'.
            '|MouseOver|SelectStart|Blur|Focus|Scroll|Select|Unload|Change)\s*=\s*(\'|").*?\\2/smi',"",$text);

    $text = preg_replace('/(\'|")Javascript:.*?\\1/smi','',$text);

    return $text;
} 


[العندليب]

الاخ طير شلوى والاخ soso_design
شكراً على مروركم وتسلمون على الإطراء.

اهلا والله بالاخ عبدالكريم
وشكراً على الإضافه الرائعه وبالفعل وسم الـ style يجعل العضو يعبث في إستايل المنتدى وإضافه رائعه منك سأضيفها لعملية الفلتره إن شاء الله .
أما بخصوص الخلفيات التي تضاف للرد من قبل العضو فأنا أرى انه لا يوجد حرج من ذلك ولكن الخوف كان يكمن في إضافة جافاسكربت في رابط الصوره باستخدام وسم javascript: ولكن الشركه قامت بوضع عملية فلتره لهذه الاوسمه الخطره مثل about: أو vbsctipt: او javascript: .
أما لو قمت بإدراج كوود php داخل الرد والموضوع فلن يعمل إذا كانت الـ html مفعله لأن محتويات الرد أو الموضوع لا يتم تمريرها على دالة eval التي تقوم بتنفيذ تعليمات الـ php فلو تم ذلك لأصبحت جميع المنتديات في خطر .
شكراً على هذه الملاحظات يا اخ عبدالكريم


أخي العملاق
بارك الله بيك على الكوود وسبق وأن قرأت هذا الكوود في السابق ولكنه يفتقر لأشياء كثيره .

أخي Zizwar
سبق وأن قرأت هذا الموضوع بارك الله بيك ولكن النقاش كان دائر حول كوود بيرل ولكني هنا أناقشكم في ماهي الاوسمه التي يمكن ان يأتي منها الخطر بخلاف ماذكرت.
هل ماذكرته بالموضوع يكفي ؟
قام الاخ عبدالكريم مشكوراً بإضافة وسم الـ style والذي يؤدي للعبث في استايل المنتدى .

أتمنى ان أجد إضافات أخرى منكم

شكراً

[BrooDEX]

مرحبا

وبما أن الموضوع قد طرح في هذا القسم فمن حق شعب النيوك أن يدلو بدلوهم

----------------------

الفكرة مطبقة فعلا في النيوك

فلو قمنا بفتح ملف الـ ( mainfile.php ) الموجود في المجلد الرئيسي لنيوك
وبالتحديد شاهدنا السطر غالبا (42) لوجدنا أن هناك فلتر

كود:

foreach ($_GET as $secvalue) {
    if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
        (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
        (eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
        (eregi("\"", $secvalue))) {
        die ("العب غيرها");
    }
}

foreach ($_POST as $secvalue) {
    if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||        (eregi("<[^>]*style*\"?[^>]*>", $secvalue))) {
        Header("Location: index.php");
        die();
    }
}

هذا مالدي وشكرا

[العندليب]

بارك الله بيك يا أخ BrooDEX
الموضوع مفتوح للجميع وليس على فئة بعينها
تسلم على الإضافه ولكني لا أرى أن الكوود الذي كتبته يعمل فلتره ولكنه يبحث عن أوسمه معينه ويظهر رسالة خطأ في حالة وجودها !
على كل حال أرى أن هناك أوسمه جديده في كوودك قد أضيفت وهي :
iframe
meta
form
وإضافه رائعه فعلاً وهي خطيره بالفعل .

مين غيره بعد

[ElNeMr]

مشكور حبيب قلبى العندليب

وجارى التجربه ......

والعمل بما قولت

فعلا ً ملاحظه قويه

تحياتى لك ؛

[SecurityWay]

يمكن عمل هذا الامر لجميع المواقع على السيرفر دفعه واحده من خلال تعديلات اساسية بالسيرفر تقوم بتنفيذ المطلوب لجميع المواقع على السيرفر بدل القيام بها لكل موقع على حدى برمجيا والتعديل بملفات الخ.

تحياتي

[إنترنت بلس]

هذا الموضوع هام فعلا .. وأشكرك على مبادرتك وننتظر تطويره ليشمل كل ما تجده في طريقك من احتمالات .. بعد ذلك يمكن كما قال الأخ SecurityWay تطبيق أوامر السكريبت على السيرفر ليصبح ساريا على مستوى السيرفر ..

[Zizwar]

أخي العندليب أضف عندك هذين الوسمين الخطيرين
أولا object :
هذا الوسم خطير جدا على انترنت اكسبلورر يستطيع اي واحد ان أضافها بالشكل الصحيح ان يفعل أكتف.إكس(ActiveX) وانت تعرف ماذا يمكن ان تفعل أكتف.إكس من التحكم في النظام فمابال الصفحة

ثانيا embed :
هذا الوسم قد يستدعي به أحدهم ملف الفلاش وملف الفلاش يمكن ان يحتوي على اكواد الجافاسكريبت

[ALaa462]

بالتوفيق