środa, stycznia 13, 2010

Me Hacker ;-)

Ha! Znalazłem dziś w pewnym portalu dziurę pozwalającą na ataki cross-scripting :-)
Jak hacker się czuję ;-)
Portal jest jak na razie w początkowej fazie rozwoju, ale może być ciekawy [choć na razie za dużo tam tematów które mnie nie interesują :-) No i żebym ja, programista Java wiedział więcej o serializacji w C# niż ludzie piszący w C#????], na 2 sposoby podesłałem im informację o tej dziurze i liczę, że jutro już tego błędu nie będzie [sam w naszej aplikacji usunąłem tego typu błąd [choć nigdy nikt go nie użył bo mógłby co najwyżej sobie samemu zaszkodzić ;-)] jedną funkcją, która przed zapisaniem do bazy i po odczytaniu z bazy danych sprawdza czy to co odczytano to String, a jeśli tak to po prostu przepuszcza ten łańcuch przez wyrażenie regularne usuwające tagi HTMLa [dla większości pól, poza pewnymi polami, które mogą przechowywać tagi] i tag <script> ze wszystkich] [tutaj mała dygresja, nie należy przesadzać z ilością nawiasów, tak jak ja przesadziłem w poprzednim mega zdaniu ;-) bo do teraz nie wiem czy wszystkie domknąłem ;-)]


Podobne postybeta
Co by zrobić żeby więcej czytać w tramwaju?
TimeToRead w działaniu
Jak zwiększyć swoje IQ?
CONNECT i tunele
Me hacker - debuger dobry

2 komentarze:

  1. 9fingers jest jeszcze mocno niedopracowane - działa na silniku CNprog (chiński klon stackoverflow) - tak więc takich niespodzianek należy się spodziewać. Z tego co widać to "początkowa faza" rozwoju 9fingers polega na zapychaniu zawartością przez "kółko wzajemnej adoracji" - vebaspect, rzientek, szaman, etc (do nich należy większość pytań). Ja osobiście wolę "prawdziwego" klona StackOverflow w postaci devPytania.pl - brak błędów rzucających się w oczy, znacznie więcej użytkowników (co sprawa, że odpowiedź na pytanie łatwiej jest uzyskać, a i pytania nie pochodzą od 6 użytkowników na krzyż), no i jest to "stare, dobre" StackOverflow. Polecam dla porównania.

    OdpowiedzUsuń
  2. Większość takich portali działa fajnie puki jest mała ilość użytkowników, później zaczynają się kłopoty z tym, że perełki giną w masie badziewia, zaczynają się jakieś koterie i powoli przestaje to działać.
    Dziś chyba gdzieś bardziej oficjalnie poszła informacja o 9fingers.pl i już się tam zaczął robić burdel i tysiące [OK, na razie kilkanaście] głupich pytań.

    OdpowiedzUsuń