Wyszukiwarka zaawansowana
Forum   Aplikacje internetowe   Tworzenie stron www   Niebezpieczne linki-jak się przed tym bronić??
 zwiń kolumnę

Tagi na forum.

C# 1456 XML 282
SQL 1192 sieci 268
ASP.NET 785 IIS 262
Windows 726 C++ 255
web 608 Html 218
Visual Studio 515 Information Technology 193
SQL Server 425 MSDN 167

pokaż wszystkie tagi na forum

 Tagi
 rozwiń  Poradnia  Twoje linki  Tagi  Ważne linki

Niebezpieczne linki-jak się przed tym bronić??

xRidx 2011-09-28 13:47:49
0
avatar
 
 

Witam jak filtrować linki?

http://www.MojaStona.aspx/<script>alert("a")</script>.

Przefiltrować to bym umiał używająć jakiejś klasy stoując odpowiednie np.wyrażenia regularne,ale na chwile obecną mam tak ,że takie requesty wychwytuje IIS ,gdyż mam włączony request wlidation.Na niektórych stronach niestety mam wyłączony,więc jak sądzę kod by się wykonał.

Mam pytanie jak przechwycić idący request ,jakiego eventu użyć do tego celu aby przefiltrować idący request zanim kod się będzie wykonywał i czy można by było to zrobić w global asax?

 

Mam drugi problem użytkownik wysłał takie coś na serwer:

http://www.MojaStona.aspx/logowanie.aspx/wwwwwwwwwwwwwwwln;ksddsiooooohndsdbnnnnnnnsdnjk;sdbjsdsdsjdbsjkdskeurweurhcfbdk=

Standardowo ISS powinien wysypać kod 404 takiej strony niema,a on załadował stronę logowanie ,ale bez CSS-a-trochę to dziwne i nie wiem co o tym myśleć.


tagi: Html
Zgłoś nadużycie


winkel  2011-09-28 14:01:38 #1
1
avatar
 
 

Poczytaj o UriScan http://learn.iis.net/page.aspx/938/urlscan-3-reference/
potrafi on odfiltrować niechciane requesty jeszcze zanim dotrą do aplikacji.


____________
Robert Winkler

Zgłoś nadużycie
xRidx  2011-09-28 14:15:59 #2
1
avatar
 
 

Dzięki,chyba skorzystam:).A co jak przefiltruje,rzuci wątek 404 czy 500 (informacja o niebezpiecznym requeście)?-trochę laickie pytanie,ale nie testowałem tego.

Nie wiem jeszcze co z tym drugim requestem,złe ustawienia iis??


Zgłoś nadużycie
xRidx  2011-11-04 12:36:00 #2.1
0
avatar
 
 

Mam pytanie trochę z innej beczki-czy filtrowanie danych wejściowych zapobiegłoby wykonaniu się js skryptu,który został podstawiony zamiast jakiegoś parametru?Wiem,że IIS ma metodę request validation i wykrywa potencjalne niebezpieczne requesty,ale  np mam to wyłączone(co nie jest zalecane)-czy polecenie (metody)

HttpUtility.HtmlDecode, HtmlEncode, UrlDecode, i UrlEncode skutecznie przefiltrowałyby dane wejściowe i zapobiegłyby wykonaniu się skryptu?


Edytowano 1 raz. Ostatnio 2011-11-04 12:37:24 przez xRidx.
Zgłoś nadużycie

Udziel odpowiedzi

avatar
Treść wpisu:

Zaloguj się lub Zarejestruj się aby wykonać tę czynność.

Idź na górę strony