Версия для печати. Взято с сайта phpsql.ru

На главную   Назад   Вперед

Использование SafeHTML

Проблемы предыдущего сценария заключаются в его простоте, он просто запрещает любой вид пользовательской разметки. К сожалению, существуют сотни других способов вставить свой JavaScript-код, который пройдет через все фильтры.

На данный момент нет ни одного сценария, который невозможно было бы взломать, однако мы можем сделать его лучше, чем есть. Чуть позже мы рас-смотрим стратегию проверки, позволяющую сделать наши сценарии более защищенными.

Одним из решений, позволяющим защитить наши сценарии, является парсер SafeHTML anti-XSS от PixelApes.

SafeHTML позволяет распознать и удалить все опасные HTML-теги. Кроме него, можно использовать другой подобный пакет HTMLSlax.

Для установки и использования SafeHTML выполните следующие действия:

1. Загрузите последнюю версию SafeHTML по адресу http://pixel-apes.com/safehtml/?paqe=safehtml.

2. Поместите файлы в каталог classes на вашем сервере. В этом ката-логе будет содержаться все, что необходимо для функционирования SafeHTML и HTMLSlax.

3. Подключите класс SafeHTML (файл safehtml.php) к вашему сценарию.

4. Создайте новый объект SafeHTML под названием $ saf eh tml.

5. Проверяйте ваши данные методом $safehtml->parse

Что может быть не так?

Наибольшим заблуждением является вера в то, что этот класс - панацея от всех XSS-атак. SafeHTML - сложный сценарий, проверяющий почти все, но без каких-либо гарантий. Данный класс не проверяет длину переменной, то есть нет гарантии, что переменная поместится в поле базы данных. Этот сценарий не поможет решить проблему переполнения буфера.

XSS-хакеры довольно креативны и используют творческий подход для достижения своей цели. Вы только взгляните на XSS-руководство RSnake's по адресу http://hackers.org/xss.html, чтобы познакомиться с методами хакеров. У проекта SafeHTML хорошие программисты, работающие в сверхурочное время, чтобы остановить XSS-атаки, но все же никто не дает никаких гарантий, что некто не придумает новый, сверхъестественный способ, позволяющий обойти все фильтры.

Примечание.
На сайте http://namba.la/popular/tech.html вы найдете пошаговое руководство по созданию XSS-червя на JavaScript, поражающего серверы MySpace.

 
Предыдущая   На главную   Следующая