ثغرة نتيجة استخدام HTML في المشاركات

[مسالم2002]

السلام عليكم

رد مقتبس من Zizwar
لكن أعتقد أنه متزال بعض الأكواد يلزم لها تغيير ك:

كود PHP:

onmousemove
onclick 
ondblclick
onmouseover
onmouseout
onmousedown
onmouseup
onblur
onfocus
.. 


وكيف تستطيع تمريره في حال الغاء الوسوم <> ....


إلا بالمناسبة وين الاخوان المبرمجين في سوالف ؟؟
معقولة 3 او 4 فقط هم من شارك بهذا الموضوع .....

اخ rafia ترى في حلول كثيرة لتفعيل HTML دون ان يسبب لك ذلك اي مشاكل ....
وللعلم ان هناك طرق اخرى ممكن ان تستغل لاختراق غير الجافا وهي بالاساس في وسوم HTML مثل وسوم

كود PHP:

script
object
embed
applet
form
input 


وبالغاء هذه الوسوم انت تأمن من مخاطرها ....

يعني نعدل في الدالة إلي وضعته :shy:
ونضيف لها وسوم اخرى يجب حظره من الاستخدام لتكون الدالة بهذا الشكل
-------------------------------------perl
sub MOBARMEG_MakeItCool {
my $text = shift;
$text =~ s/<\s*\/?(script|javascript|java|object|embed|applet|form|input|\n)[^>]*>//gi;
$text =~ s/( |\n)//g;
return $text;
}
-------------------------------------perl
وسموحة منكم ... لاني عارف ان الاغلبية لا يهتم إلا بالـphp ويرغب في معرفت كيفيت معالجة ذلك بالـphp ....
ولكن علا وعسى يمر على الموضوع الغبار ويظهر شخص قد يفيده ذلك

وشكرا

[Zizwar]

أخي مسالم2002 أعتقد أن الصورة لن تظهر إذا ألغيت وسومها كلية

ف [img]http://winomania.com/images/costrik.gif[img/]
تصبح

كود PHP:

<img src=http://winomania.com/images/costrik.gif> 


يعني لو أرسلت هذه القيمة

كود PHP:

[img]http://winomania.com/images/costrik.gif onclick=alert(this.src)[/img] 


تصبح النتيجة

كود PHP:

<IMG SRC=http://winomania.com/images/costrik.gif onclick=alert(this.src) > 


أنسخ كود النتيجة
و جرب أن تضغط على الصورة ستجد أن جافا سكريبت ماتزال تعمل

[مسالم2002]

السلام عليكم

هممممممم .. :con2:

كلام معقول ... وفهمت عليك ....
طيب على كذى اظن اننا بنحلها بحذف المسافات في عناوين الصور ...
المهم أنا الحين مش فاهم بالضبط وين يتم معالجة الخلل هل هي بالصور مثلا أو بكل ما يتم استقباله بغض النظر عن كونها في رموز الصور أو لم تكن ....
وارجو ان تبينو بالضبط شو المطلوب

المهم هذا ملف عملته مع الشرح عليه يادي الغرضين بما اني مش فاهم بالضبط شو المطلوب ...

كود:

#!/usr/bin/perl

# القيمة وتحمل اكواد مختلفة بما في ذلك كودات جافا والصور
$txt = qq~<b>text</b><br>
 <br> 
<i>text</i><br>
 <br> 
<u>text</u><br>
[img]onclick=alert(this.src) http://winomania.com/images/costrik.gif[/img] <br> 
<font color="Red">text</font><br>
 <br> 

~;

# حظر الوسوم بدالة MOBARMEG_MakeItCool
$txt=MOBARMEG_MakeItCool($txt);
# في حال وجود رموز الصور يتم معالجتها بدالة include_picture
$txt =~ s!\[img\](([^\]]|\n)*)\[\/img\]!&include_picture($1)!egm;

# طباعة النتيجة في الصفحة
print "Content-type: text/html\n\n";
print "$txt";

# دالة include_picture الخاصة بمعالجة رموز الصور
sub include_picture {
my $text = shift;
# حظر على العنوان وجود جميع الوسوم
$text =~ s/<([^>]|\n)*>//gi;
# حذف المسافات في العنوان
$text =~ s/( |\n)//g;
# اذا كان العنوان يبدء بي http: وينتهي بمتدادات الصور
if ($text =~ m/[^http:]\.(jpg|png|gif)$/i) 
{ $text = qq~<IMG SRC="$text">~; } # عمل الصور
return $text;
}
# دالة MOBARMEG_MakeItCool الخاصة بحظر الوسوم
sub MOBARMEG_MakeItCool {
my $text = shift;
$text =~ s/<\s*\/?(script|javascript|java|object|embed|applet|form|input|\n)[^>]*>//gi;
return $text;
}

ان شاء الله اكون قدرة افيدكم بشي ....

وشكرا