google bug – błąd w google webmaster tools
Otóż niedawno zwyczajnie przeglądając sobie google dla webmasterów zdziwiłem się jak zobaczyłem ładnie osadzony JavaScript pośród wyników. Może to niewiele ale takie rzeczy są równie bezpieczne jak sranie na odbezpieczony 5 sekundowy granat… Poza tym mając taką wskazówkę bez problemu odnajdziemy więcej podobnych błędów, wiadomo gdzie szukać… jestem wręcz pewien że wszystkie dane są w ten sam sposób parsowane!
Pragnę przypomnieć, że już dawno w google jakiś ktoś odkrył też jakieś luki (chyba także XSS), nie jestem pewnie bo nie było po polsku… Teraz odnalazłem go w : Twoja witryna w sieci >> Zapytania najczęściej powodujące wyszukanie
Miłego XSS-owania!
- XSS
- cross site scripting, atak na stronę polegający na umieszczeniu własnego kodu na stronie, oczywiście złośliwy w działaniu i szkodliwy (z reguły JavaScript).
- Zabezpieczenie przed XSS
- Otóż nie ma prostszych sposobów niż parsowanie danych w PHP za pomocą jednej z dwóch funkcji:
- htmlentities() – zamienia specjalne znaki na encje, dzięki temu możemy wyświetlić bezpiecznie każdy kod i nie zostanie on wykoanany
- strip_tags() – usuwa każdy kod HTML, osadzony JavaScript oraz PHP, wiec nie zostanie on w ogóle wyświetlony
- htmlspecialchars() = konwertuje na encje tylko znaki specjalne
Przy htmlentities() oraz htmlspecialchars() pragnę przypomnieć, że jeśli parsujemy jakiś ciąg w utf-8 lub innym kodowaniu to musimy je podać jako trzeci argument funkcji, inaczej znaki specjalne nam się wykrzaczą!
htmlentities($str, ENT_NOQUOTES, 'utf-8'); htmlspecialchars($str, ENT_NOQUOTES, 'utf-8');
Screen buga w google webmaster tools:
Dla tych szukających rozwiązania od strony php polecam dwie funkcje:
- urlencode()
- rawurlencode()
Wszelkie prawa zastrzeżone © tosiek
21.12.2009 at 11:37
Dzięki za ciekawe informacje.