تسلم على سرعة الردالمشاركة الأصلية كتبت بواسطة العندليب
تفضل هذا الرابط بيعطيك معلومات أكثر :
http://www.dynamicdrive.com/dynamici...itor/index.htm
| |
تسلم على سرعة الرد
تفضل هذا الرابط بيعطيك معلومات أكثر :
http://www.dynamicdrive.com/dynamici...itor/index.htm
__________________
موقع الصم العرب
أود أن أرسلها على بريدك
هل ممكن تعطيني بريدك تراني نسيته
__________________
شبكة الواحة العامرة
ممكن توضيح لثغرة XSS لنحمي برامجنا .
__________________
htaccess بكل بساطة
الشفرة الموحدة "يونِكود"
(إن من مفاسد هذه الحضارة أنها تسمي الاحتيال ذكاءً، والانحلال حرية، و"الرذيلة فناً" والاستغلال معونة) - مصطفى السباعي
بكل سرور فأنا أقدر خصوصيتك
al3ndaleeb@uk2.net
الأخ الصم
أشكرك على الرابط
بحثت كثيراً عن محررارت Wysiwyg ولم أجد أفضل من luis editor لذلك بدأت به
اشكرك على التواصل معنا
الاخ jadweb.com
هذا الموقع به طرق لثغرات XSS
http://ha.ckers.org/xss.html
إن شاء الله يفيدك
مشكور اخوي
الـ Cross Site Scripting
يطلق عليها إختصاراً xss وليس CSS تميزاً لها عن صفحات الأنماط المتعددة Cascading Style Sheet، بإختصار هي نوع من الهجمات التخريبية على تطبيقك يحدث عندما يتمكن أحدهم من إدخال بيانات مختطلة مع بعض الأوامر في نماذج صفحات موقعك ينتج عن ذلك تشويه شكل صفحة موقعك أو إظهار رسائل خطأ متكررة عند زيارة الصفحة التي تم تخريبها، أو سرقة بعض البيانات الحساسة من الزوار أو صاحب الموقع نفسه ! ، تنتج هذه المشكلة نتيجه عدم فحصك لمدخلات الزوار في النماذج و سماحك لهم بإدخال وسوم HTML أو Java Script في نماذج الموقع مما يجعلهم قادرين على تلويث صفحات موقعك بشيفرات ليست جزء من شيفرة تطبيقك الذي كتبته ! يمكن للهاكر أيضاً العبث في المتغيرات التي يمررها تطبيقك عن طريق عناوين URL و إضافة أجزاء اليها تجعله قادر على السيطرة جزئيا أو كلياً على تطبيقك ، أو على الأقل تشويه شكل التطبيق ، لعلك تتذكر عزيزي القارئ الثغرة التي كان مصاب بها نظام بريد الـ Hotmail قبل سنتين تقريبا ، و التي كانت تسمح للهاكر بقراءة صندوق البريد الوارد للضحية ، تلك الثغرة كانت تصنف تحت الـ XSS !
__________________
htaccess بكل بساطة
الشفرة الموحدة "يونِكود"
(إن من مفاسد هذه الحضارة أنها تسمي الاحتيال ذكاءً، والانحلال حرية، و"الرذيلة فناً" والاستغلال معونة) - مصطفى السباعي
------------------
__________________
شبكة الواحة العامرة
جرب الان أخي باعقيل
خذ هذا :
أو بإضافة ><IMG a=">"> src="javascript:alert(1)"
<IMG a=">"> src="javascript:alert(1)>"
وإذا كتبت :
يختفي ويختفي كل شيء بعدها<script
__________________
شبكة الواحة العامرة
عمل رائع ننتضر هذا العمل
والله يوفقك ان شاءالله في سد جميع الثغرات
__________________
acmilan
سلمت والله
عرفت كيف تؤكل الكتف أخي باعقيل
كان هناك عيب برمجي طفيف جداً وهو أن الكوود لا يقوم بفحص المتغيرات التي تأتي أحادية علامات التنصيص مثل:
a="
او
a='
وتم إضافة فحص للمتغيرات الناقصه الان وأعتقد أن هذه النقاط التي ذكرتها هي لب الموضوع الذي أبحث عنه.
بارك الله فيك أخي باعقيل.
جرب الان
حياك الله
أنا أستغرب من وجود الثغرة التالية :
<img src="http://apr.apache.org/apr2_0intro/apr2_0intro_files/space.gif" onload="alert(1)">
موفق إن شاء الله
__________________
شبكة الواحة العامرة
ولاحظت أيضا ...
أنه لا ينفع هذا الكود
<img src="..." alt="< hello >">
حيث أنك تمنع علامتي الأكبر والأصغر إذا كانتا بين علامتي التنصيص كما هو ملاحظ في قيمة alt
__________________
شبكة الواحة العامرة
السلام عليكم ورحمة الله وبركاتة
جزاك الله عنه خير الجزاء
فقط حبيت اشارك بشكري لك ولمجهودك
ومشكلة أخرى غير الثغرات وهي تشويه شكل المنتدى
جرب هذا :
</table></td></tr><td>
وهذا:
<table>
__________________
شبكة الواحة العامرة
الأخ علوي باعقيل حفظه الله
طريقة برمجة الفلتره معتمده على جملة REGX وهي كالتالي:
إذا قام السكربت بفحص النص عن علامة فتح الرمز > سيبدأ بالبحث عن علامة الإغلاق وهي <كود PHP:preg_match_all("'<[\/\!]*?[^<>]*?>'si", $html, $match);
فإذا وجد علامة الفتح مره أخرى > سيهمل العلامه الأولى التي وجدها وسيعتبر العلامه الحاليه هي أول علامة تم فتحها.
لذلك لو أدخلت للسكربت النص التالي:
سيأخذ من النص مايلي:كود HTML:<img src="..." alt="< hello >">
أما الرموز الخارجه سيعتبرها علامات أكبر من وأصغر من وذلك بتحويلها لرموز htmlentityكود HTML:< hello >
كان هذا توضيح لعمل الفلتره
الخطأ الطفيف الذي كان حاصل هو عدم التحقق من علامات التنصيص الأحاديه والحمدلله إستطعت من عمل التحقق منها
جرب الان
أكثر ماكان يعقدني هو اخر علامه وهي <
حيث أن علامة المساواة إذا أتت بعدها علامة < فسوف يعتبرها رمز مفتوح
قمت بعمل اللازم وبالمرفق تجد الملف الذي صممته للفلتره حتى يسهل عليك التعرف على ملاحظات أكثر أخي باعقيل.
هذه المشكله أعرفها منذ زمن بعيد ولكن كان التركيز الأول على مسألة الثغرات لأنها أهمومشكلة أخرى غير الثغرات وهي تشويه شكل المنتدى
جرب هذا :
</table></td></tr><td>
وهذا:
<table>
إذا كان لديك أي إضافه بشأنها فأرجوا ذلك.
بإنتظارك
ضوابط المشاركة
رد مع اقتباس
