środa, stycznia 13, 2010

Me Hacker ;-)

Ha! Znalazłem dziś w pewnym portalu dziurę pozwalającą na ataki cross-scripting :-)
Jak hacker się czuję ;-)
Portal jest jak na razie w początkowej fazie rozwoju, ale może być ciekawy [choć na razie za dużo tam tematów które mnie nie interesują :-) No i żebym ja, programista Java wiedział więcej o serializacji w C# niż ludzie piszący w C#????], na 2 sposoby podesłałem im informację o tej dziurze i liczę, że jutro już tego błędu nie będzie [sam w naszej aplikacji usunąłem tego typu błąd [choć nigdy nikt go nie użył bo mógłby co najwyżej sobie samemu zaszkodzić ;-)] jedną funkcją, która przed zapisaniem do bazy i po odczytaniu z bazy danych sprawdza czy to co odczytano to String, a jeśli tak to po prostu przepuszcza ten łańcuch przez wyrażenie regularne usuwające tagi HTMLa [dla większości pól, poza pewnymi polami, które mogą przechowywać tagi] i tag <script> ze wszystkich] [tutaj mała dygresja, nie należy przesadzać z ilością nawiasów, tak jak ja przesadziłem w poprzednim mega zdaniu ;-) bo do teraz nie wiem czy wszystkie domknąłem ;-)]


Podobne postybeta
Me hacker - debuger dobry
TimeToRead w działaniu
Jak zwiększyć swoje IQ?
CONNECT i tunele
Ingress - to wciąga ;-)