Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Webprogrammeren & scripting

(php) veilig of niet, ik heb geen idee

Rumaro
2 antwoorden
  • Ik heb een programma mijn website laten scannen en die kwam met verontrustende meldingen.

    Maar nu vraag ik me af, is dat ook wel zo ?

    Ik krijg bv dit:
    [quote:76754051f2]
    The POST variable emailadres has been set to >"><ScRiPt%20%0a%0d>alert(403408555612)%3B</ScRiPt>.

    View HTTP headers
    Request
    POST /contact.php HTTP/1.0
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
    Host: antieke-klokken.net
    Content-Length: 206
    Cookie: PHPSESSID=6896e23c998c19ba6a0a9d3ab8cdd994
    Connection: Close
    Pragma: no-cache
    Acunetix-Product: WVS/5.5 (Acunetix Web Vulnerability Scanner - NORMAL)
    Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED
    Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm

    naam=111-222-1933email@address.tst&emailadres=>"><ScRiPt%20%0a%0d>alert(403408555612)%3B</ScRiPt>&onderwerp=111-222-1933email@address.tst&bericht=111-222-1933email@address.tst&submit=Verzend%20het%20berichtResponse
    HTTP/1.1 200 OK
    Date: Tue, 24 Feb 2009 19:32:06 GMT
    Server: Apache/1.3.41 (Unix) PHP/5.2.6 mod_ssl/2.8.31 OpenSSL/0.9.7a
    X-Powered-By: PHP/5.2.6
    Connection: close
    Content-Type: text/html
    [/quote:76754051f2]
    Ik zie echter geen herkenbare output, betekent dit dat de gebruikte karakterbescherming gewerkt heeft of niet ?

    Ook laat ik mezelf een bericht sturen als er een inlogpoging word gedaan.
    Nu krijg ik dit:
    [quote:76754051f2]
    inlog poging op Antieke klokken 82.169.57.107—&lt;script&gt;alert(40585,8441961343)&lt;/script&gt;—111-222-1933email@address.tst[/quote:76754051f2]

    en weer vraag ik me af of de karakters juist ge-escaped worden of niet.

    Maw: moet ik subiet de website herprogrammeren, of ben ik redelijk beschermd ?

    Trouwens, dit krijg ik als html response:
    [img:76754051f2]http://www.plaatjesupload.nl/bekijk/2009/02/24/1235504848-850.jpg[/img:76754051f2]
  • Lijkt mij gewoon inderdaad een escape probleem te zijn, maar zonder de code op zich te zien is dat moeilijk natuurlijk. De output (als ik even vluchtig kijk) van dat programmatje is niet veel meer dan de headeroutput die je normaal krijgt. PHP, om op uw onderwerptitel te antwoorden, kan zowel héél veilig als héél onveilig zijn. Kwestie si dat je moet zorgen dat het veilig is natuurlijk.

    vergelijk het gewoon met een gewone computer, hij kan uiterst veilig (virusscanners, trojanscanners, firewall enzovoort) zijn, maar je kan jezelf ook blootstellen door dit allemaal niet te installeren.

    Wat betreft het escapen nog, maak gebruik van single en double quotes. Dat maakt het niet alleen overzichtelijker, maar het maakt het ook een pak makkelijk bij debuggen EN je hoeft je double quotes dan niet te zitten escapen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.