1. #1

    Registered
    10/11/08
    Location
    Leuven
    Posts
    115
    iTrader
    0
    Mentioned
    0 Post(s)

    code injectie tegen gaan

    Hoe ga ik het best code injectie tegen??
    kijken of er in forums geen script tags staan?
    en bolt tags zijn wel allowed zolang ze maar worden afgesloten!!

    hoe moet code injectie bewerkt worden?
    no votes  

  2. #2
    Yngwie's Avatar
    Registered
    14/06/04
    Location
    Haacht
    Posts
    917
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    1/1
    hangt ervanaf wat je wil tegenhouden, sql injection, cross site scripting(xss),..

    Begin al met elke user input te saneren. dus overal waar de gebruiker iets kan invoeren controleer je of er geen tekens instaan die er niet mogen staan (' <? <script> ...). Hier bestaan in zowat elke servertaal wel enkele functies voor die dit voor je doen.

    Nog een tip: belangrijke (trans)acties nooit met GET uitvoeren. altijd met POST. zo vermijd je exploitbare urls als donate.php?to=12345&amount=500
    no votes  

  3. #3
    blackrabbit's Avatar
    Registered
    25/07/02
    Location
    Brussel
    Posts
    1,001
    iTrader
    5 (100%)
    Mentioned
    0 Post(s)
    Reputation
    2/2
    POST kan je evengoed faken hoor.
    no votes  

  4. #4
    Yngwie's Avatar
    Registered
    14/06/04
    Location
    Haacht
    Posts
    917
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    1/1
    I know, maar met POST kan je geen cross site requests forgen.

    Als we uitgaan van vorige url dan zet ik in men sig op dit forum een link met als titel "Mijn website" en als url "www.example.com/donate.php?to=Yngwie&amount=2000" dan zal iedereen die op mijn sig klikt en toevallig recent een sessie open heeft staan op example.com 2000 credits/points/gold aan mijn account donaten.

    Dit wordt al onmogelijk als je deze acties via POST volbrengt.
    no votes  

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Log in

Log in