/ / Новые возможности безопасности ядра скрипта
ноябрь 22 2006

Новые возможности безопасности ядра скрипта

Не зря люди говорят что "Все гениальное просто, но не все простое гениально". Хотелось бы представить вам новую возможность безопасности ядра скрипта от проведения XSS атак и MySQL инъекций. Более 90% различного рода атак и сканирований происходит путем манипуляции строкой браузера и передачей зловредного кода методом GET. На данный момент безопасность сводилась к тщательной фильтрации входящих данных, и переменные очищались от возможного зловредного кода. Это дает безопасность самого скрипта, но если установлен сторонний модуль, то безопасность сайта зависит уже от того побеспокоился ли об этом автор или нет. Да и не всегда удается качественно очистить входящий код, некоторые переменные могут быть забыты. После недолго размышления над этим пришла довольно простая мысль достаточно проверить строку URL браузера на наличие 3 символов чтобы полностью исключить возможность XSS и MySQL инъекций, а также исключить сканирование скрипта на наличие уязвимых переменных. Данная возможность будет включена в новую версию скрипта 5.2. Но данная версия еще находится на стадии разработки, поэтому я предлагаю вам воспользоваться этой возможностью уже сейчас.

Уникальность данного метода состоит в том что он не проверяет какие-то отдельные переменные, а проверяет весь поток поступающей информации с URL браузера, при нахождении символов " ' ../ ./ > < полностью блокирует работу скрипта еще до начала его выполнения. Причем абсолютно неважно в каком виде поступают эти символы, будь то прямой ввод или с использованием спецсимволов HTML. Для работы же самого скрипта эти символы в строке URL абсолютно не нужны.

Итак хватит вступления что вам необходимо сделать чтобы иметь данный метод блокировки уже сейчас. Это применимо для всех версий DataLife Engine.

Внимание! Просмотр данной информации доступен только пользователям имеющим лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.


Ссылки для примера:
http://dle-news.ru/user/celso'ft/
http://dle-news.ru/index.php?do=pm&doaction=newpm&user=1"+union%20SQL
http://dle-news.ru/index.php?do=newmodul&mydata=<script>alert(XSS)</script>

Комментарии

[sql]

[sql]

22 ноября 2006 15:46 Посетители
0
кул
IRON MAIDEN

IRON MAIDEN

22 ноября 2006 15:48 Клиенты
0
то есть... юзеры с апострофом недопустимы? и как скажется это нововведение на работе сторонних модулей? не совсем понятно!
celsoft

celsoft

22 ноября 2006 16:18 Администраторы
0
Цитата: IRON MAIDEN
то есть... юзеры с апострофом недопустимы?

они всегда были недопустимы если вы не заметили
Цитата: IRON MAIDEN
и как скажется это нововведение на работе сторонних модулей? не совсем понятно!

пример обработки стророннего модуля как видите переменные которые передаются неизвестны скрипту
https://dle-news.ru/index.php?do=mymodule&mydata=<script>alert(XSS)</script>

наберите эту строку и увидите результат обработки
Hellik

Hellik

22 ноября 2006 18:01 Посетители
0
Обновляемся, спасибо.
no_name

no_name

22 ноября 2006 20:57 Посетители
0
кул...
а чего раньше-то сидели? wink
mruzbekd

mruzbekd

22 ноября 2006 21:05 Посетители
0
Обновляемся, спасибо.
valuex.ru

valuex.ru

22 ноября 2006 23:23 Посетители
0
сенк, обновился wink
Hellik

Hellik

22 ноября 2006 23:30 Посетители
0
celsoft, конечно в сетевой безопасности я ничего не понимаю, но погляди, сегодня нашел интересную на мой взгляд вещь от компании Positive Technologies.
http://www.ptsecurity.ru/
http://www.ptsecurity.ru/xs7download.asp - здесь демка
Ustas

Ustas

23 ноября 2006 10:13 Посетители
0
спасибо, а нет такого когда что б у юных хакеров (без компьютерных) рученки сами отваливались :-) ?
kot

kot

24 ноября 2006 02:07 Клиенты
0
Обновите дестрибутив плиз или выложите готовые файлы ато я 3 раза пробывал не получается выбивает ошибку
kot

kot

24 ноября 2006 02:07 Клиенты
0
забыл версия 5,1
vikdo

vikdo

24 ноября 2006 07:30 Клиенты
0
А если в заголовке новости нужно будет вставить эти символы, то всё нормально будет?
Zdraff

Zdraff

24 ноября 2006 09:00 Клиенты
0
Аякс в опросе работать перестал, страница полностью обновляется.
celsoft

celsoft

24 ноября 2006 10:32 Администраторы
0
Цитата: kot
Обновите дестрибутив плиз или выложите готовые файлы ато я 3 раза пробывал не получается выбивает ошибку

дистрибутив не будет обновляться, данное нововедение будет включено не ранее версии 5.2.
Цитата: vikdo
А если в заголовке новости нужно будет вставить эти символы, то всё нормально будет?

без проблем. Заголовок не поступает извне.
Цитата: Zdraff
Аякс в опросе работать перестал, страница полностью обновляется.

Данная модификация на это не влияет опрос использует файлы которые вы даже не затрагиваете.
Zdraff

Zdraff

24 ноября 2006 19:20 Клиенты
0
Цитата: celsoft
Данная модификация на это не влияет опрос использует файлы которые вы даже не затрагиваете.

Все проверил. Действительно, дело не в этом. Странно..
Репа-Х

Репа-Х

25 ноября 2006 15:12 Посетители
0
Пасиба абнавил! wink
plush

plush

25 ноября 2006 21:38 Клиенты
0
Класс, все работает! wink Согласен с тем, кто хотел бы, чтоб у юных хацкеров руки отваливались при наборе определенных команд
kot

kot

25 ноября 2006 21:42 Клиенты
0
Аааа ребата дайте файлики не получается ниче е мое
Infernus

Infernus

26 ноября 2006 10:25 Клиенты
0
celsoft , наконец Datalife выходит на новый уровень! Это радует! Спасибо! wink

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Декабрь 2017    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Ноябрь 2017 (3)
Сентябрь 2017 (2)
Август 2017 (5)
Июль 2017 (1)
Июнь 2017 (1)
Апрель 2017 (3)