حصري وداعاً لثغره xss في بيئة PHP

**www.5zn.cc** · 17-10-2009

بمناسبة حملة فاز من كان حياته إنجاز
على الرابط التالي
http://www.7rs.cc/show.php?id=16

تم البداء بوضع حل لثغره xss في بيئتين وهما PHP و ASP
بسم الله نبداء
---------------------------
وداعاً لثغره xss في بيئة الـ PHP

السلام عليكم
اللهم لا علم لنا إلا ماعلمتنا
ثغره xss تشكل خطر حقيقي على أكثر السكربتات بنسبة 99%
متغير التجارب هو بإسم xss

الحل الأول
<?
$xss="my sitewww.7rs.cc";
$xss=htmlspecialchars($xss);
echo $xss;
?>
الناتج سوف يظهر الكود بنفس الشكل الذي وضعه المخترق
وبهذا الشكل تعطل هجوم المخترق
الحل الثاني
$xss="my sitewww.7rs.cc";
$xss=str_replace("<","*",$xss);
$xss=str_replace(">","*",$xss);
echo $xss;
?>
الناتج سوف يكون
my site*i*www.7rs.cc*/i*
وبهذا الشكل تعطل هجوم المخترق

الحل الثالث
<?
$xss="my sitewww.7rs.cc";
$xss=strip_tags($xss);
echo $xss;
?>
والناتج سوف يكون
my sitewww.7rs.cc

ترقبوا حل ثغره xss في بيئة asp
أخوكم في الله
أبو إبراهيم

المصدر
http://www.7rs.cc/show.php?id=17

-------------------
بالنسبة للـXSS في بيئة ASP تم وضع حل له هنا
http://www.swalif.net/softs/swalif46/softs273027/

**Al7aRbi** · 17-10-2009

السلام عليكم

أخي الكريم؟ وين الحصرية في موضوعك بارك الله فيك
لا أرى سوى دالة htmlspecialchars الموجودة بشكل افتراضي في php
وشكرا لك ووفقك الله

**www.5zn.cc** · 17-10-2009

أمامك ثلاث حلول^_~
إذا أنت تعرفها غيرك مايعرفها
وشكراً على الملاحظه^_^

**MtRp** · 17-10-2009

الف شكر لك
بس حلول عادية
اى مبرمج مبتدأ يعرف strip_tags وhtmlspecialchars

**www.5zn.cc** · 17-10-2009

أهلاً أخي MtRp
بالنسبة لكلامك فصحيح بأن الأغلبيه يعرفها ... ويوجد من لايعرفها
فالهدف من الموضوع نشر جميع الأساليب قدر المستطاع
وشاكر لك تعليقك^_^
وننتظر مشاركتك وإبداعك
أخوك في الله

**Q8 Developer** · 17-10-2009

عالعموم مشكور وماقصرت

**ArabCoders** · 17-10-2009

حلك جميل ولكن يأخذ وقت طويل اذا كان السكربت كبير، فانا أنصح بإستخدام فلتر على مستوى GLOBALS و POST ومن هناك يتم تنقيح المدخلات وتستطيع السماح لبعض المدخلات أن تحمل كودات HTML، بدل أن تقوم بتكرار الكود اكثر من 1000 مره على كل مدخل بالسكربت

**Isaac Wahb** · 30-10-2009

كود PHP:


<?
function sec_var($var)
{
            if strip_tags($var) { die("the Variable $var has a bad value"); }
}
 
// example
$virtual_var["pass"]=sec_var($_GET["pass"]);
$virtual_var["user"]=sec_var($_GET["user"]);
 
// your scripts goes here ... :)
// END <<
?>

الموضوع: حصري وداعاً لثغره xss في بيئة PHP

أدوات الموضوع

بحث في الموضوع

حصري وداعاً لثغره xss في بيئة PHP

المواضيع المتشابهه

ريوهوست بتوعــدك بسيرفـر VPS يسعدك ( وداعاً التوقف - وداعاً للأختراق - وداعاً للبطي)

حصري وداعاً لثغره xss في بيئة ASP

ضوابط المشاركة