Hjælp til salg (Ikke internet)

Svar: cross-site scripting

HackTest.dk — Mon, 02 Nov 2009 09:12:41 GMT

Hej Kenneth,

ja cross-site scripting (også kaldet XSS) er ikke for sjov, det giver hackeren mulighed for at plante et stykke javascript på brugernes profiler eller andre steder. Dette javascript kan så indeholde en cookie-stjæler, som vil blive sendt til hackeren.

Vi har netop lanceret et koncept der kan hjælpe ejere af websites/webshops med at få styr på de forskellige sikkerhedsbrister - der er efterhånden virkelig mange sites der har disse brister - du kan læse mere på http://www.hacktest.dk

Hvis du selv kan uddybe problemstillingen yderligere kan det også være vi kan hjælpe dig her via Amino, hvor vi satser på fremover at kunne bidrage med hjælp, rådgivning m.m. i forbindelse med spørgsmål om sikkerhed på websites/webshops.

Venlig hilsen
Jonas, HackTest.dk ApS

Svar: cross-site scripting

Vietnam Rejser - Kenneth — Mon, 02 Nov 2009 08:26:16 GMT

Jeg takker for de mange fine svar. Forstår dog ikke ret meget af det. Men jeg må forsøge mig frem, og læse mig til det jeg kan.

Svar: cross-site scripting

Elias Sørensen — Mon, 02 Nov 2009 07:46:28 GMT

Det, du kan gøre er at huske at encode alle URLs og ikke mindst filtrere "ulovlige" tegn ud fra inputs. Du kunne f.eks. bruge strip_tags() funktionen i php, eller skrive din egen regEx som sørgede for det.

I stedet for f.eks. at lade brugeren kode direkte med html-tags kan du i stedet bruge BBCode, så du parser html-tags ved output i stedet ved at få dem ind ved input. Så kan du selv styre hvad du præcist vil bruge (f.eks. <b>, <u> og <i>).

Svar: cross-site scripting

Mikkel deMib Svendsen — Mon, 02 Nov 2009 07:13:32 GMT

Studieogelevjob.dk:
Hvad kan man gøre for at afhjælpe dette problem? Hvordan finde rjeg ud af hvor problemet er, og retter det?

Først og fremmest skal du undersøge om der er sket nogle skader - om de har ændret på din database, lagt skadelig kode ind der eller direkte på dine websider. Er der det skal det fjernes!

Herefter skal du gennemgå alle de steder, hvor brugerinput behandles på serveren - formularer, dynamiske sider, søgeresultatsider osv. Alle disse steder skal du sikre dig, at brugernes input valideres, således at der ikke kan slippe skadelig kode igennem. Der findes kodebiblioteker til mange udviklingssprog, som kan hjælpe med det. Men man kommer ikke udenom er det er temmelig nørded, for der er ekstremt mange måder hackere kan snige fremmed kode ind og udenom de sikkerhedsregler der er opsat.

Hvis det er et kommercielt eller OS publiceringssoftware din ven bruger bør han rette henvendelse til leverandørerne og gøre opmærksom på problemet. Måske har de en rettelse han kan bruge. Hvis det er et system han selv har lavet, så er der ingen vej uden om ovenstående.

Svar: cross-site scripting

Vietnam Rejser - Kenneth — Mon, 02 Nov 2009 07:08:16 GMT

Hvad skal jeg kigge efter når jeg går kildekoden igennem?

Svar: cross-site scripting

Frederik Nielsen — Mon, 02 Nov 2009 06:46:31 GMT

Hvis han bruger et CMS eller et færdigt system af en art, er det en god ide at få det opdateret til nyeste version.

Ellers er det bare at gå kildekoden igennem.

cross-site scripting

Vietnam Rejser - Kenneth — Sun, 01 Nov 2009 20:31:30 GMT

Hej Aminoer

Jeg kender en der har fået lukket sit website af sit webhotel pga. cross-site scripting.

Hvad kan man gøre for at afhjælpe dette problem? Hvordan finde rjeg ud af hvor problemet er, og retter det?

Jeg ved ikke så meget om dette, men har lovet at hjælpe så godt jeg kan, og undersøge mulighederne.

Håber der er en der har lidt jeg kan bruge.