صفحة 1 من 2 12 الأخيرةالأخيرة
النتائج 1 إلى 15 من 18

الموضوع: ثغرة نتيجة استخدام HTML في المشاركات

  1. #1
    عضو نشيط
    تاريخ التسجيل
    Apr 2003
    المشاركات
    283

    ثغرة نتيجة استخدام HTML في المشاركات



    السلام عليكم ورحمة لله

    خاصية HTML: غير متاح

    كثيرا ما نجد اغلاق هذه الخاصية
    لوجود ثغرة او اكثر نتيجة إتاحة HTML في المشاركات

    الثغرة المشهورة
    كود جافا يضاف في المشاركة يقوم بسرقة الكوكيز
    بتاكيد هناك اوامر لايعمل الكود الى بها اذا يوجد حل

    وارغب في حل هذه المشكلة
    فهل يتكرم احد ويرسل الكود لي من هنا
    http://www.rafiaphp.com/mail.php?action=sendtome
    واتعهد بعدم استخدامة او توزيعه
    وانشر الحل

    ايضا هل يوجد مشاكل اخرى تترتب على تفعيل HTML ?





    __________________
    مجموعة بي اتش بي العربية www.php4arab.org
    البوابة العربية www.arabportal.net
    rafia غير متواجد حالياً


  2. #2
    عضو سوبر نشيط
    تاريخ التسجيل
    Dec 2000
    المشاركات
    998


    عزيزي الأخ رفيع :

    بخصوص هذه الثغرة ، فإنها ليست خاصة بـ HTML ، بل أيضا في السماح بإدراج الصور، والفلاش

    فمثلا يوضع هذا الأمر مع إدراج الصورة

    [img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>

    وهلم جرا

    ولكي تقضي على هذه المشكلة أنت بين أمرين :

    الأمر الأول : استعراض المشاركات المسموح فيها بكتابة وسوم HTML

    الأمر الثاني :

    التحقق من خلو الصور أو النص من الجافا سكربت

    ويمكنك ذلك عن طريق الدالة

    كود PHP:
    if (preg_match"/javascript(\:|\s)/i"$txt)) {

    return 
    false;








    __________________
    لا تعاند من إذا قال فعل
    الشنكبوتية
    اللغة العربية سياج هويتنا
    عبد الرحمن غير متواجد حالياً

  3. #3
    عضو نشيط
    تاريخ التسجيل
    Apr 2003
    المشاركات
    283


    مرحبا اخي العزيز الاستاذ عبد الرحمن

    شكرا على المعلومة الجديدة المتعلقة بصور والفلاش

    اما بخصوص الدالة امضافة
    if (preg_match( "/javascript(:|s)/i", $txt))
    لا تنطبق على
    المثال
    [img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>

    اما الحل
    عند السماح بستخدام html يجب تنظيف المشاركة من اي وسوم javascript
    او script

    و تمرير مابين كود الصور او الفلاش على الدالة strip_tags
    عند السماح بهما ايضا
    هل هذا يكفي ؟





    __________________
    مجموعة بي اتش بي العربية www.php4arab.org
    البوابة العربية www.arabportal.net
    rafia غير متواجد حالياً

  4. #4
    مـراقـب
    تاريخ التسجيل
    Apr 2001
    المشاركات
    4,264
    __________________
    لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
    Fuga غير متواجد حالياً

  5. #5


    المثال المرفق اجتهاد ارجو ان يكون ما ترمي اليه

    كود PHP:

    $text 
    "[img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>";

    $searcharray = array(
              
    "/javascript:/si",
               
    "/<script>/si"
            
    );

     
    $replacearray = array(
              
    "java script:",
              
    "script :"
            
    );

    $text=preg_replace($searcharray$replacearray$text); 






    __________________
    لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
    مراقب1 غير متواجد حالياً

  6. #6
    خبير JavaScript
    تاريخ التسجيل
    Jul 2002
    المشاركات
    2,920


    السلام عليكم
    غير من إلى
    كود PHP:
    "<script" to "< script"
    "</script" 
    to "< /script" 
    أو
    كود PHP:
    "<script" to "<!--<script"
    "</script>" 
    to "</script>-->" 
    و الله أعلم







    Zizwar غير متواجد حالياً

  7. #7
    عضو سوبر نشيط
    تاريخ التسجيل
    Dec 2000
    المشاركات
    998


    المثال الذي ذكره مراقب1 يفي بالغرض إن شاء الله

    وأما بخصوص الدالة فضعها داخل دالة تحويل الصورة

    أولا : تأخذ الرابط بين الوسمين [/img] [img]

    ثانيا : تتحقق من هذا الرابط هل يبدأ بـ http أو لا؟

    ثالثا : تتحقق من الرابط هل يحتوي على أمر script أو لا؟

    مع العلم أنك لو أدرجت صورة من موقع javascript فلن تعمل لأنه الرابط سيحتوي على لفظة script

    لكن أمن موقعك أهم من إدراج صورة من هذا الموقع.

    والطريقة التي أوردها Zizwar نافعة؛ بحيث تعطل عمل الدالة





    __________________
    لا تعاند من إذا قال فعل
    الشنكبوتية
    اللغة العربية سياج هويتنا
    عبد الرحمن غير متواجد حالياً

  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    Jul 2001
    المشاركات
    319


    وكيف يمكن تطيق ذلك في حيز المنتدى ؟!





    __________________
    نعم للتعايش السلمي الاجتماعي .. ولا للعنف !
    Lamyaa غير متواجد حالياً

  9. #9


    السلام عليكم

    أظن ان افضل واسهل طريقة هي الغاء وسوم <> من رموز الصور
    [img] ....
    فهنا مهما كان احتواء عنوان الصورة على اسماء مثل javascript سوف لن ياثر على عمل رمز الصورة مثال
    name.com/javascript/img.gif
    وكما تلاحظ في عنوان الصورة مجلد باسم javascript ونحن لا نرغب في حذفه بما انه يعتبر من عنوان الصورة نفسها .....

    وانا مش مبرمج PHP ولو اعرف كيف الطريقة بالـPHP لوضعته ... ولكن لمن يرغب في معرفت طريقة الغاء وسوم <> من رموز الصور بالبيرل فهذه هي الطريقة
    كود:
    $text = "[img]http://www.name.com/javascript/img.gif<script>getcookie</script>";
    $text =~ s/<[^>]*>//gi;
    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً

  10. #10


    كود PHP:
    <?
    $txt 
    'blablabla<i>bla</i><script>xx</script><img src="javascript:xx">';

    MOBARMEG_MakeItCool(&$txt);
    function 
    MOBARMEG_MakeItCool($txt)
    {
     
    $txt str_replace('javascript''java&nbsp;script'$txt);
     
    $txt str_replace('java script''java&nbsp;script'$txt);
     
    $txt strip_tags($txt'<a><b><i><u><img><dev><p>');
     return 
    $txt;
    }

    echo 
    $txt;
    ?>






    __________________
    ArabBB ... SoooooN!
    Al Mobarmeg المبرمج غير متواجد حالياً

  11. #11


    السلام عليكم
    رد مقتبس من Al Mobarmeg المبرمج
    كود PHP:
    <?
    $txt 
    'blablabla<i>bla</i><script>xx</script><img src="javascript:xx">';

    MOBARMEG_MakeItCool(&$txt);
    function 
    MOBARMEG_MakeItCool($txt)
    {
     
    $txt str_replace('javascript''java&nbsp;script'$txt);
     
    $txt str_replace('java script''java&nbsp;script'$txt);
     
    $txt strip_tags($txt'<a><b><i><u><img><dev><p>');
     return 
    $txt;
    }

    echo 
    $txt;
    ?>
    اخي المبرمج الدالة لا يزال بها عيب وهو ان عنوان الصورة لو كان يحتوي على كلمة script او javascript فانه سيضع فراغ بينهم ولن تظهر الصورة
    أظن ان بالاصح ان تكون بهذا الشكل
    كود PHP:
    <?
    $txt 
    'javascript/blablabla<i>bla</i><script>xx</script><img src="java script:xx">';

    MOBARMEG_MakeItCool(&$txt);
    function 
    MOBARMEG_MakeItCool($txt)
    {
     
    $txt str_replace('<'''$txt);
     
    $txt str_replace('>'''$txt);
     
    $txt strip_tags($txt'<a><b><i><u>&lt;img><dev><p>');
     return 
    $txt;
    }

    echo 
    $txt;
    ?>
    الغرض هو تعطيل وضيفة كودات الجافا من اداء وضيفتها .... دون ان نضطر لحظر بعض الاسماء ....

    وهذا نفس الدالة لمن يرغب بالبيرل :shy:
    كود:
    #!/usr/bin/perl
    
    
    $txt = 'javascript/blablabla<i>bla</i><script>xx</script><img src="java script:xx">';
    
    $txt = MOBARMEG_MakeItCool($txt);
    
    sub MOBARMEG_MakeItCool {
    my $text = shift;
    $text =~ s/<[^>]*>//gi;
    return $text;
    }
    
    print "Content-type: text/html\n\n";
    print "<html><h1>$txt</h1></html>\n";
    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً

  12. #12


    أخي مسالم2002 ..

    لو قمنا بـ
    كود PHP:
    <?
     $txt 
    str_replace('<'''$txt);
     
    $txt str_replace('>'''$txt);
    ?>
    فما فائدة:
    كود PHP:
    <?
     $txt 
    strip_tags($txt'<a><b><i><u>&a
    mp;lt;img><dev><p>'
    );
    ?>
    نستطيع أن نزيل كل ال tags بـ
    strip_tags()

    كـ
    كود PHP:
    <?
    $txt 
    strip_tags($txt);
    ?>
    ولكن قصدي كان السماح ببعض الtags





    __________________
    ArabBB ... SoooooN!
    Al Mobarmeg المبرمج غير متواجد حالياً

  13. #13


    السلام عليكم

    معليش اخوي المبرمج ....
    تراني اساسا مش فاهم الكود ولا كنت فاهم قصدك انه كذي وجوابي كان تخمين ....
    والتمس منك العذر على ذلك ...

    ولكن عزيزي على مافهمت من الاخوان انهم يتحدثون عن تمرير كودات الجافا في رموز الصور ... وطبيعي ان اي صورة لن تحتوي على tags وإلا فمعناه انه هناك كودات يتم تمريرها مع عنوان الصورة

    أي انه لا داعي بالاساس من وضع tags في رموز الصور ...
    وفي نظري افضل طريقة لحل لذلك هو التخلص من وسوم <> حتى يتم تعطيل الامر ...
    وهذا كله في حال وجودها اما لو لم تحتوي على هذه الوسوم فلما يتم حظر بعض الكلمات التي قد تحتوي على عنوان الصورة مثل الدالة التي وضعتها ....

    واسف على فهم الموضوع بالغلط
    واعدل الدالة التي وضعتها في السابق بحيث فقط تعطل وسوم التي حتوي على امور جافا ... وعدى ذلك فانه لن يتم تعطيله ...

    كود:
    sub MOBARMEG_MakeItCool {
    my $text = shift;
    $text =~ s/<\s*\/?(script|javascript|java|\n)[^>]*>//gi;
    return $text;
    }
    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً

  14. #14
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,143


    موضوع رائع ..

    شكراً لإسهاماتكم





    __________________
    سبحان الله و بحمده سبحان الله العظيم .
    random-x@hotmail.com
    -------------
    بين الفينة و الأخرى ... لماماً أظهر !
    random_X غير متواجد حالياً

  15. #15
    خبير JavaScript
    تاريخ التسجيل
    Jul 2002
    المشاركات
    2,920


    لكن أعتقد أنه متزال بعض الأكواد يلزم لها تغيير ك:
    كود PHP:
    onmousemove
    onclick 
    ondblclick
    onmouseover
    onmouseout
    onmousedown
    onmouseup
    onblur
    onfocus
    .. 






    Zizwar غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا|شقق للايجار في الكويت | بيوت للبيع في الكويت | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض