Главная страница / Информация / Новые возможности безопасности ядра скрипта
ноябрь 22 2006

Новые возможности безопасности ядра скрипта

Не зря люди говорят что "Все гениальное просто, но не все простое гениально". Хотелось бы представить вам новую возможность безопасности ядра скрипта от проведения XSS атак и MySQL инъекций. Более 90% различного рода атак и сканирований происходит путем манипуляции строкой браузера и передачей зловредного кода методом GET. На данный момент безопасность сводилась к тщательной фильтрации входящих данных, и переменные очищались от возможного зловредного кода. Это дает безопасность самого скрипта, но если установлен сторонний модуль, то безопасность сайта зависит уже от того побеспокоился ли об этом автор или нет. Да и не всегда удается качественно очистить входящий код, некоторые переменные могут быть забыты. После недолго размышления над этим пришла довольно простая мысль достаточно проверить строку URL браузера на наличие 3 символов чтобы полностью исключить возможность XSS и MySQL инъекций, а также исключить сканирование скрипта на наличие уязвимых переменных. Данная возможность будет включена в новую версию скрипта 5.2. Но данная версия еще находится на стадии разработки, поэтому я предлагаю вам воспользоваться этой возможностью уже сейчас.

Уникальность данного метода состоит в том что он не проверяет какие-то отдельные переменные, а проверяет весь поток поступающей информации с URL браузера, при нахождении символов " ' ../ ./ > < полностью блокирует работу скрипта еще до начала его выполнения. Причем абсолютно неважно в каком виде поступают эти символы, будь то прямой ввод или с использованием спецсимволов HTML. Для работы же самого скрипта эти символы в строке URL абсолютно не нужны.

Итак хватит вступления что вам необходимо сделать чтобы иметь данный метод блокировки уже сейчас. Это применимо для всех версий DataLife Engine.

Внимание!

Просмотр данной информации доступен только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом. Если срок вашей лицензии истек, то вы можете продлить ее в своем профиле на нашем сайте


Ссылки для примера:
http://dle-news.ru/user/celso'ft/
http://dle-news.ru/index.php?do=pm&doaction=newpm&user=1"+union%20SQL
http://dle-news.ru/index.php?do=newmodul&mydata=<script>alert(XSS)</script>

Комментарии

  1. [sql] (Посетители)

    22 ноября 2006 15:46 20 комментариев
    кул
  2. IRON MAIDEN (Клиенты)

    22 ноября 2006 15:48 4 комментария
    то есть... юзеры с апострофом недопустимы? и как скажется это нововведение на работе сторонних модулей? не совсем понятно!
  3. celsoft (Администраторы)

    22 ноября 2006 16:18 4 132 комментария
    Цитата: IRON MAIDEN
    то есть... юзеры с апострофом недопустимы?

    они всегда были недопустимы если вы не заметили
    Цитата: IRON MAIDEN
    и как скажется это нововведение на работе сторонних модулей? не совсем понятно!

    пример обработки стророннего модуля как видите переменные которые передаются неизвестны скрипту
    https://dle-news.ru/index.php?do=mymodule&mydata=<script>alert(XSS)</script>

    наберите эту строку и увидите результат обработки
  4. Hellik (Посетители)

    22 ноября 2006 18:01 32 комментария
    Обновляемся, спасибо.
  5. no_name (Посетители)

    22 ноября 2006 20:57 3 комментария
    кул...
    а чего раньше-то сидели? wink
  6. mruzbekd (Посетители)

    22 ноября 2006 21:05 20 комментариев
    Обновляемся, спасибо.
  7. valuex.ru (Посетители)

    22 ноября 2006 23:23 5 комментариев
    сенк, обновился wink
  8. Hellik (Посетители)

    22 ноября 2006 23:30 32 комментария
    celsoft, конечно в сетевой безопасности я ничего не понимаю, но погляди, сегодня нашел интересную на мой взгляд вещь от компании Positive Technologies.
    http://www.ptsecurity.ru/
    http://www.ptsecurity.ru/xs7download.asp - здесь демка
  9. Ustas (Посетители)

    23 ноября 2006 10:13 9 комментариев
    спасибо, а нет такого когда что б у юных хакеров (без компьютерных) рученки сами отваливались :-) ?
  10. kot (Клиенты)

    24 ноября 2006 02:07 13 комментариев
    Обновите дестрибутив плиз или выложите готовые файлы ато я 3 раза пробывал не получается выбивает ошибку
  11. kot (Клиенты)

    24 ноября 2006 02:07 13 комментариев
    забыл версия 5,1
  12. vikdo (Клиенты)

    24 ноября 2006 07:30 16 комментариев
    А если в заголовке новости нужно будет вставить эти символы, то всё нормально будет?
  13. Zdraff (Клиенты)

    24 ноября 2006 09:00 67 комментариев
    Аякс в опросе работать перестал, страница полностью обновляется.
  14. celsoft (Администраторы)

    24 ноября 2006 10:32 4 132 комментария
    Цитата: kot
    Обновите дестрибутив плиз или выложите готовые файлы ато я 3 раза пробывал не получается выбивает ошибку

    дистрибутив не будет обновляться, данное нововедение будет включено не ранее версии 5.2.
    Цитата: vikdo
    А если в заголовке новости нужно будет вставить эти символы, то всё нормально будет?

    без проблем. Заголовок не поступает извне.
    Цитата: Zdraff
    Аякс в опросе работать перестал, страница полностью обновляется.

    Данная модификация на это не влияет опрос использует файлы которые вы даже не затрагиваете.
  15. Zdraff (Клиенты)

    24 ноября 2006 19:20 67 комментариев
    Цитата: celsoft
    Данная модификация на это не влияет опрос использует файлы которые вы даже не затрагиваете.

    Все проверил. Действительно, дело не в этом. Странно..
  16. Репа-Х (Посетители)

    25 ноября 2006 15:12 53 комментария
    Пасиба абнавил! wink
  17. plush (Клиенты)

    25 ноября 2006 21:38 6 комментариев
    Класс, все работает! wink Согласен с тем, кто хотел бы, чтоб у юных хацкеров руки отваливались при наборе определенных команд
  18. kot (Клиенты)

    25 ноября 2006 21:42 13 комментариев
    Аааа ребата дайте файлики не получается ниче е мое
  19. Infernus (Клиенты)

    26 ноября 2006 10:25 63 комментария
    celsoft , наконец Datalife выходит на новый уровень! Это радует! Спасибо! wink

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?