компьютерный форум
Вернуться   Компьютерный форум > Программирование и вебстроительство > Программирование > Заказы на разработку ПО и сайтов > Защита информации > Интернет ресурсы

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 05.01.2011, 12:29   #1
Пользователи
 
Регистрация: 21.12.2007
Сообщений: 161
Thumbs up Защита от Xss атак

Поскольку атака происходит при участии пользовательского браузера, можно вполне доверять значению заголовка Referer и использовать его для проверки того, что данные были сформированы нашим скриптом, а не атакующим. Проверка на Referer предполагает, что атакующий на мог встроить произвольный html-код в один из наших доверенных скриптов - впрочем, подобная атака уже выходит за границы XSS.

Минимальная необходимая защита от XSS-атак - очистка пользовательского ввода от любых потенциально опасных символов, таких как < > " &.

Причина большинства уязвимостей - пользовательский ввод. Программу типа "Hello world!" просто не удастся атаковать. Это приводит нас к заключению о том, что в большинстве случаев для обеспечения безопасности достаточно добиться строгой фильтрации пользовательского ввода. В этих целях очень полезно использовать регулярные выражения, обеспечивающие проверку по "белому списку" и проверяющие данные на соответствие жестким рамкам (включая, кстати, и длину). Все, что после этого остается аналитику - исключительно креативные размышления о том, каким образом можно заставить данные фильтры пропускать то, что они не должны пропустить.




семенчик вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
05.01.2011, 12:29
Техник
реклама
Thumbs up Защита от Xss атак

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 02:32. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2