Anzeige:
Ergebnis 1 bis 7 von 7

Thema: Mißbrauch von HTML Code

  1. #1
    Registrierter Benutzer Avatar von Romanday
    Registriert seit
    03.02.2004
    Beiträge
    829

    Mißbrauch von HTML Code

    Die User sollen die Möglichkeit bekommen per Formular Code (HTML)
    in eine DB einzufügen.

    Um einen Mißbrauch zu erschweren + verhindern,
    möchte ich bestimmte Tags automatisch löschen z. B.

    - Javascript
    - <img Tags>
    - <iframe>

    Bei welchen Tags sind noch wichtig, welche man auschließen oder
    modifizieren sollte.
    Abriss, bzw. die Sprengung des World Trade Centers
    WDR Dokumentation
    Doku + DT Untertitel
    Weitere Infos - Terrorstorm

  2. #2
    Registrierter Benutzer
    Registriert seit
    25.12.2004
    Beiträge
    217
    Hi Romanday,

    CSS würde ich noch entfernen (auch link-Tags).

    Aber kannst du nicht BB-Code oder so verwenden? Weil sobald dein Filter einen Fehler hat ist dein Skript wieder unsicher. Ich halte es für das beste HTML komplett zu verbieten und alles über festgelegte Tags formatierbar zu machen.

    PHP Filter gibt es hier:
    http://www.owasp.org/software/labs/phpfilters.html

    Grüße,
    nEox

  3. #3
    Registrierter Benutzer Avatar von Romanday
    Registriert seit
    03.02.2004
    Beiträge
    829
    Zitat Zitat von nEox
    Hi Romanday,

    CSS würde ich noch entfernen (auch link-Tags).

    Aber kannst du nicht BB-Code oder so verwenden? Weil sobald dein Filter einen Fehler hat ist dein Skript wieder unsicher. Ich halte es für das beste HTML komplett zu verbieten und alles über festgelegte Tags formatierbar zu machen.

    PHP Filter gibt es hier:
    http://www.owasp.org/software/labs/phpfilters.html

    Grüße,
    nEox
    HTML komplett verbieten geht bei unserem neuen Projekt leider nicht.
    BB Code geht auch nicht so einfach, sonst muß ich den vorgefertigten
    HTML Editor komplett umschreiben.
    Warum sollte ich CSS verbieten? Um das Laden externer Grafiken
    zu unterbinden?

    (In punkto Sicherheit, geh ich davon aus das ich bestimmt etwas
    vergesse, oder übersehe. Das ist aber nicht weiter schlimm, da
    es genug Probierfixe gibt die mir indirekt helfen.

    Ich dreh mir meinen Krams lieber selber zusammen, als mich auf
    fremden Code zu verlassen.)
    Geändert von Romanday (15-01-2006 um 18:35 Uhr)
    Abriss, bzw. die Sprengung des World Trade Centers
    WDR Dokumentation
    Doku + DT Untertitel
    Weitere Infos - Terrorstorm

  4. #4
    Registrierter Benutzer
    Registriert seit
    25.12.2004
    Beiträge
    217
    Hi Romanday,

    Warum sollte ich CSS verbieten? Um das Laden externer Grafiken
    zu unterbinden?
    Um CSRF zu vermeiden und damit deine Seite nicht verunstaltet werden kann.

    Mit ist bei HTML Eingaben (allgemein Usereingaben) immer etwas unwohl, bin bei sowas halt paranoid

    Muss sich der Benutzer bei eurem Projekt authentifizieren um nachvollziehen zu können wer was angestellt hat?

    Viele Grüße,
    nEox

  5. #5
    Registrierter Benutzer Avatar von Romanday
    Registriert seit
    03.02.2004
    Beiträge
    829
    Zitat Zitat von nEox
    Hi Romanday,
    Muss sich der Benutzer bei eurem Projekt authentifizieren um nachvollziehen zu können wer was angestellt hat?

    Viele Grüße,
    nEox
    Ja, muß er.
    Leider gibt es auch Demo Accounts wo diese Funktion auch zur Verfügung steht.
    Werde es umgekehrt machen. Nur eine Aufzählung von Tags zulassen.
    Geändert von Romanday (16-01-2006 um 08:35 Uhr)
    Abriss, bzw. die Sprengung des World Trade Centers
    WDR Dokumentation
    Doku + DT Untertitel
    Weitere Infos - Terrorstorm

  6. #6
    Registrierter Benutzer
    Registriert seit
    25.12.2004
    Beiträge
    217
    Hi Romanday,

    Zitat Zitat von Romanday
    Nur eine Aufzählung von Tags zulassen.
    Stimmt dürfte auch recht einfach sein. Bei strip_tags kann man ja die Tags angeben die man behalten will. Wobei in den Comments von strip_tags zu lesen ist, dass die Funktion nicht allzu gut vor Attacken schützt.

    Hauptsache JavaScript wird entfernt, dann ist die größte Gefahrenquelle behoben.

    Grüße,
    nEox

  7. #7
    Registrierter Benutzer Avatar von Romanday
    Registriert seit
    03.02.2004
    Beiträge
    829
    Zitat Zitat von nEox
    Hi Romanday,

    Hauptsache JavaScript wird entfernt, dann ist die größte Gefahrenquelle behoben.

    Grüße,
    nEox
    Stimmt.
    (Hatte eBay lange Zeit nicht verstanden.

    Werde auch eine Menge Sonderzeichen automatisch löschen.
    Das ist das nicht mehr einfach eine BadString zu konstruieren.
    (Aus Sicherheitsgründen sind Frames, CSS, Java,
    Javascript und Links zu externen Datenquellen nicht erlaubt.)
    Geändert von Romanday (16-01-2006 um 20:31 Uhr)
    Abriss, bzw. die Sprengung des World Trade Centers
    WDR Dokumentation
    Doku + DT Untertitel
    Weitere Infos - Terrorstorm

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •