Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

cross-site scripting

Side 1 ud af 1 (7 indlæg)
  • 1
Fra Hanoi
Tilmeldt 9. Jan 07
Indlæg ialt: 577
Fra  ComOnline - er du ikke online, så kommer du det Vietnam Rejser Skrevet kl. 21:31
Hvor mange stjerner giver du? :

Hej Aminoer

Jeg kender en der har fået lukket sit website af sit webhotel pga. cross-site scripting.

Hvad kan man gøre for at afhjælpe dette problem? Hvordan finde rjeg ud af hvor problemet er, og retter det?

Jeg ved ikke så meget om dette, men har lovet at hjælpe så godt jeg kan, og undersøge mulighederne.

Håber der er en der har lidt jeg kan bruge.
Fra Haslev
Tilmeldt 16. Feb 09
Indlæg ialt: 582
Fra  DirectHost Skrevet kl. 07:46
Hvor mange stjerner giver du? :

Hvis han bruger et CMS eller et færdigt system af en art, er det en god ide at få det opdateret til nyeste version.

Ellers er det bare at gå kildekoden igennem.
Fra Hanoi
Tilmeldt 9. Jan 07
Indlæg ialt: 577
Fra  ComOnline - er du ikke online, så kommer du det Vietnam Rejser Skrevet kl. 08:08
Hvor mange stjerner giver du? :

Hvad skal jeg kigge efter når jeg går kildekoden igennem?
Fra Lyngby
Tilmeldt 26. Mar 05
Indlæg ialt: 9714
Fra  DEMIB HOLDINGS ApS Waimea Digital Skrevet kl. 08:13
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 1 person

Studieogelevjob.dk:
Hvad kan man gøre for at afhjælpe dette problem? Hvordan finde rjeg ud af hvor problemet er, og retter det?

Først og fremmest skal du undersøge om der er sket nogle skader - om de har ændret på din database, lagt skadelig kode ind der eller direkte på dine websider. Er der det skal det fjernes!

Herefter skal du gennemgå alle de steder, hvor brugerinput behandles på serveren - formularer, dynamiske sider, søgeresultatsider osv. Alle disse steder skal du sikre dig, at brugernes input valideres, således at der ikke kan slippe skadelig kode igennem. Der findes kodebiblioteker til mange udviklingssprog, som kan hjælpe med det. Men man kommer ikke udenom er det er temmelig nørded, for der er ekstremt mange måder hackere kan snige fremmed kode ind og udenom de sikkerhedsregler der er opsat.

Hvis det er et kommercielt eller OS publiceringssoftware din ven bruger bør han rette henvendelse til leverandørerne og gøre opmærksom på problemet. Måske har de en rettelse han kan bruge. Hvis det er et system han selv har lavet, så er der ingen vej uden om ovenstående.

Fra Odense
Tilmeldt 4. Jun 06
Indlæg ialt: 953
Fra  Veronté Skrevet kl. 08:46
Hvor mange stjerner giver du? :

Det, du kan gøre er at huske at encode alle URLs og ikke mindst filtrere "ulovlige" tegn ud fra inputs. Du kunne f.eks. bruge strip_tags() funktionen i php, eller skrive din egen regEx som sørgede for det.

I stedet for f.eks. at lade brugeren kode direkte med html-tags kan du i stedet bruge BBCode, så du parser html-tags ved output i stedet ved at få dem ind ved input. Så kan du selv styre hvad du præcist vil bruge (f.eks. <b>, <u> og <i>).

Mvh., Elias Sørensen

Ved siden af mit arbejde som udvikler, sælger jeg også sokker på nettet :o)

Fra Hanoi
Tilmeldt 9. Jan 07
Indlæg ialt: 577
Fra  ComOnline - er du ikke online, så kommer du det Vietnam Rejser Skrevet kl. 09:26
Hvor mange stjerner giver du? :

Jeg takker for de mange fine svar. Forstår dog ikke ret meget af det. Men jeg må forsøge mig frem, og læse mig til det jeg kan.

 
Fra Danmark
Tilmeldt 1. Nov 09
Indlæg ialt: 22
Skrevet kl. 10:12
Hvor mange stjerner giver du? :

Hej Kenneth,

ja cross-site scripting (også kaldet XSS) er ikke for sjov, det giver hackeren mulighed for at plante et stykke javascript på brugernes profiler eller andre steder. Dette javascript kan så indeholde en cookie-stjæler, som vil blive sendt til hackeren.

Vi har netop lanceret et koncept der kan hjælpe ejere af websites/webshops med at få styr på de forskellige sikkerhedsbrister - der er efterhånden virkelig mange sites der har disse brister - du kan læse mere på http://www.hacktest.dk

Hvis du selv kan uddybe problemstillingen yderligere kan det også være vi kan hjælpe dig her via Amino, hvor vi satser på fremover at kunne bidrage med hjælp, rådgivning m.m. i forbindelse med spørgsmål om sikkerhed på websites/webshops.

Venlig hilsen
Jonas, HackTest.dk ApS
Side 1 ud af 1 (7 indlæg)
Bliv gratis medlem pa Amino