Здравствуйте Гость!


Запомнить.
Авто. вход.
Забыли пароль?
Регистрация

ПОДПИСКА Подписавшись по E-mail, Вы будете получать уведомления о новых статьях к себе на почту.
Подписатся на почтовую рассылку на сайте astranar.ru
Подписаться



ДОБАВЛЯЙТЕСЬ В ДРУЗЬЯ Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте на стене моего аккаунта.
Мой аккаунт Вконтакте
Мой аккаунт
Главная - PHP - Защита php скрипта, межсайтовый скриптинг. Защита от атак на сайт!


Защита php скрипта, межсайтовый скриптинг. Защита от атак на сайт!


Защита php скрипта, межсайтовый скриптинг. Защита от атак на сайт! Xss атаки

Доброго времени суток! Не так давно, один из подписчиков моего сайта попросил уделить время и написать несколько статей про защиту сайта от всевозможного взлома!

В этой статье мы разберем что такое xss уязвимость, XSS уязвимость и защита от XSS атак!

Давайте узнаем, что же такое эти XSS-атаки?!
Аббревиатура XSS происходит от Cross Site Scripting (межсайтовый скриптинг), но чтобы не путать с CSS, которое в свою очередь широко известно как Cascading Style Sheets (каскадные таблицы стилей), принято иное сокращение.
В задачи межсайтового скриптинга и главной целью XSS является получение cookies пользователей атакуемого сайта путем встраивания вредоносного кода в тело HTML страницы.
Если вы напишете в форме для ввода текста вот эту строку -

<script>alert("cookie: "+document.cookie)</script>

То вы увидите ваши сессионные данные, если они конечно же есть. А это значит что ваша форма - уязвима! И это срочно нужно предотвращать! Я бы рекомендовал много защиты, всего сам не вспомню спонтанно! Однако некоторый код я вам приведу!

$filter = array("<", ">", "[", "]");
$_GET['a']=str_replace ($filter, "_", $_GET['a']);


Этот код заменит все введенные символы из массива $filter в адресной строке в GET-параметре где вы принимаете данные.

Это малая часть. Еще Есть такой тег как htmlspecialchars(); Это php htmlspecialchars тег! Который заменяет все html теги на их сущности! К примеру знак ">" Заменит на >

Но это далеко не все способы защиты, и не все способы взлома. Я не большой специалист по взлому! Но одно могу сказать, нет абсолютно защищенного скрипта или сайта в целом. Любую систему можно взломать!
И еще если вы хотите обезопасить себя и своих пользователей сайта от взлома и кражы куки, то вам нужно соблюдать простые правила! Давайте подытожим :
1) Проверять все возможные входные данные, даже те которые кажутся вам безопасными! Все GET и все POST параметры!
2) Сделать систему мониторинга на сайте, чтобы время от времени отслеживать все хождения и загрузки страниц пользователями и не только! ( почитайте эту и http://astranar.ru/forum.php?category=php&id=8 эту тему
3) После того как вы создали свой скрипт, который отправляет на сервер данные, вам следует протестировать его самому! НЕ ЖДИТЕ ПОКА ЭТО СДЕЛАЕТ МАЛОЛЕТНИЙ КРЕКЕР!
4) Залог хорошей защиты - думать не как создатель и пользователь сайта, системы или скрипта, а как злоумышленник, думайте как крекер! То есть вы свободно можете заходить на сайты где тусуются все хакеры, и читать как они делятся своими способами взлома, или изучать старые способы взлома!



Просмотров страницы: 7395
Урок добавлен: 11 Мая 2013

<<<Предыдущая статьяСледущая статья >>>

Копирование материалов разрешается только с указанием автора (Пальгов Олег) и индексируемой прямой ссылкой на сайт (https://astranar.ru/)!

Добавляйтесь ко мне в друзья ВКонтакте: https://vk.com/palgov_oleg. Если Вы хотите оценить меня и мою работу, то напишите на стене моего аккаунта ВКонтакте.

Если Вы не хотите пропустить новые материалы на сайте, то Вы можете подписаться на обновления:
Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Ещё статьи по php:
Сколько памяти занимает исполняемый код? Разберемся!
Разбиение и объединение строк в PHP
Как сделать комментирование на своем сайте
Sql injection или sql инъекция.


Комментарии (0)


Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.
Защита php скрипта, межсайтовый скриптинг. Защита от атак на сайт!
Люди не хотят быть богатыми, люди хотят быть богаче других.

Джон Стюарт Милль

Вступайте в группу!