الأخوان .NET Lover & ZaeeM
شكراً على مروركم
| |
الأخوان .NET Lover & ZaeeM
شكراً على مروركم
أخي العندليب
لاحظ هذا الكود
<img src="aa" alt="bb cc" >
النتيجة هكذا:
<img src="aa" alt="bb" cc >
ثم هذا الكود يلغي أي نص بعده
<script
__________________
شبكة الواحة العامرة
المشاركة الأصلية كتبت بواسطة here
أخي علوي باعقيل حفظه الله
أولا أرفقت لك كوود الفلتره في ردي السابق عليك يمكن يفيدك أكثر.
ثانياً بخصوص الكوود الذي ذكرته سأشرح لك طريقة الفلتره له
الكوود المرسل هو :
بعد التحقق من أنه كوود html بين علامتي <> سيبدأ الفلتر بإزالة علامات التنصيص جميعها بداخله ويصبح الكوود كالتالي:كود HTML:<img src="aa" alt="bb cc" >
بعد عملية الإزاله سيأخذ الفلتر علامة المساواة = ويزيل المسافات من حولها وفي مثالك هذا لا يوجد أي مسافات حول علامة =كود HTML:<img src=aa alt=bb cc >
بعد عملية إزالة المسافات سيضيف مسافه قبل علامة <
بعدها سيأخذ المتغيرات وهي:
src=aa
alt=bb
وسيقوم بإحاطة قيمها بعلامتي تنصيص ويصبح الكوود كالتالي:
أعتقد أنك ستسأل لماذا تم إستبعاد حرفي cc من إحاطته بالتنصيص.كود HTML:<img src="aa" alt="bb" cc >
الجواب بسيط جداً وهو بسبب جميلة الـ REGX التاليه:
كل هذه الخطوات لأجل الحمايه داخل الـ tags وطبعا يوجد خطوات أخرى لم أذكرها.كود PHP:preg_match_all("/[a-z]+=([^\"'][^ ]+)[ ]/iU",$a,$mat1);
إذا كان لك رأي تريد أن تضيفه فتفضل
يعجبني فيك النقاش.
تحياتي لك
انا ليس لدي خبرة ابدا في هذه الاشياء بس حبيت امر و اشكرك جزيلا على كل ما تفوم به
ولي سؤال
أنا مركب مجلة MKPortal
و المحرر الخاص بها HTML فهل له اضرار أو ثغرات ام ماذا
هذا أيضا أخذت الكود من الموقع الذي دللتني عليه
<XML ID="xss"><I><B><IMG SRC="javascript:alert('XSS')"></B></I></XML>
<SPAN DATASRC="#xss" DATAFLD="B" DATAFORMATAS="HTML"></SPAN>
__________________
شبكة الواحة العامرة
خلال مناقشتنا حول الـ TAGS الخطيره بالموضوع القديم لم يتطرق أي أحد لرمز XML
والحقيقه لم أجربه من قبل وها أنت الان أتيت به وعمل
الان تمت إضافته للرموز الخطيره التي يجب إزالتها.
الأخ gg4gg.com
حياك الله والـ html خطيره بأي مكان اخر ويجب فلترتها وهذا الموضوع صمم خصيص لمشاهدة نتائج الفلتره التي عملناها وهاهو أخونا علوي باعقيل يبلي بلاءاً حسناً معنا بارك الله فيه.
بالإنتظار
إذا برنامج العندليب وقد شحذ همته وحصن اتش تي إم إل..ـه من الثغرات الخطيرة
فما بالك بالـ html المفتوح
أنا مخوفني يا أخي العندليب أن النسخ الجاية من المتصفحات تزيد من هذه الثغرات باستهتارهم وعدم مبالاتهم . وكل شوية يزودوا لي أمر فرحانين فيه . ولا تعلم إن وجدت متصفحات تفتح ثغرة أنت غير متوقعها ولا هي على البال . الحين بعد ما تنجح بتوفيق الله يا أخي العندليب لازم تشتغل ناطور تشوف الأشياء الجديدة في النسخ الجديدة والمتصفحات الجديدة حتى ترقع كل ثغرة . لذلك التعامل مع ال html غير سهل هذا في رأيي .
بالله عليك شوف هذا الكود الغبي
<here style="background-image:url('...')">
الحين بالله عليك هذا الغبي اللي اسمه html كيف ينفذ هذا الاستايل background-image والتاج here غير معروفة ؟؟!!
يعني ايش معنى نفذ هذا الأمر وإذا حطيت صورة ما اشتعلت الصورة لأن التاج here غير معروفة !!!
أنا صرت أضحك من هذا الغبي . والله ما كنت متصور أن html فيه هذه الثغرات بالهبل وذلك لما أخبرتني بصفحة ثغرات xss .
سؤال : هل يعمل برنامجك على نتسكيب أو الفاير فوكس ؟
__________________
شبكة الواحة العامرة
أخي علوي باعقيل وفقه الله لكل خير
عند بدايتي في برمجة الفلتره كان أمامي طريقين في البرمجه
الطريق الأول هو أنني أزيل التاقز الخطيره وأسمح بأي شي أخر.
الطريق الثاني هو أنني أسمح بتاقز محدده وأرفض كل الرموز الأخرى وهذا الطريق وجدته في دالة الـ php التي تسمى strip_tags .
لذلك إخترت الطريق الأول لسبب مهم وهو أن الـ html رموزها ثابته والتطوير الذي يحدث هو تطوير داخل هذه التاقز من ناحية الإستايل أكثر شي.
أما تضمين لغات السكربت المشهور مثل الجافا سكربت والفي بي سكربت فلها طرق أخرى تطرقنا لها في موضوع أخطار الـ html .
أما تعجبك من أن المتصفح يقبل رموز غير معروفه مثل here الذي أوردته في مثالك فهي خاصيه معموله للإضافات الجديده بحيث لو أضافوا رمز جديد فسوف يتعامل معه المتصفح كما يتعامل مع أي تاقز فهناك متغيرات ثابته موجوده في كل تاقز مهما كان نوعه مثل style ,id ,name ........ الخ
من خلال كلامك أرى أنك تقصد بأني سلوكي للطريق الأول في برمجة الفلتره خاطيء!
مارأيك ؟ ياليت تدلي بدلوك في هالنقطه بالتحديد.
اما بخصوص تساؤلك عن المحرر هل يتعامل مع متصفحات أخرى فأنا لم أجرب الحقيقه ولكن أحد الزملاء أشار لي بأنه لا يعمل مع الفايرفوكس! ولا أدري عن الأخرى حقيقة!
الله يعطيك ألف عافية أخوي
__________________
بسم الله الذي لايضر مع إسمه شيء في الأرض ولا في السماء وهو العلي العظيم
مشاء الله عليك عيني عيك بارده سلمت يداك وجاري التجربة
أما عن الفايرفوكس نعم لا يعمل
أما ماذا أفضل فلا أدري لكن أحبذ الطريقة الثانية على الأولى
__________________
شبكة الواحة العامرة
أخي علوي باعقيل وفقه الله لكل خير
بالنسبه لعدم عمله مع الفايرفوكس فالمشكله هي مشكلة جافا وليست بذات أهميه الان ولكن دعنا ننتهي من العقبه الأكبر أولاً.
أما عن ميولك للطريقه الأولى فماذا تتوقع أن تكون الرموز التي نسمح بها إذن ؟
الاخوان ksa@sa و فلسطيني
شكراً على المرور.
كحد أدنى الرموز الموجودة في صندوق الأدوات .
p br hr font div span a center img li ul ol marquee s b i u small big sup sub blockquote tbody table td tr th thead tfoot pre dt dl dd code h1 h2 h3 h4 h5 h6
__________________
شبكة الواحة العامرة
شكراً لك عزيزي العندليب إلى الأمام
__________________
راسلني
يعيط العافيه ومقال مهم
وياليت يطلع الناتج في موضوع منفرد لتعم الفائده
__________________
اتشرف بزيارتكم لموقعي
الرئيسية
http://www.aljremh.net
المنتديات
http://www.aljremh.net
مكتبة الابتسامات
http://aljremh.net/smil
راسلنا
aljremh@hotmail.com
وقريبا مفاجاة الجريمه نت
ضوابط المشاركة
رد مع اقتباس