Would you like to react to this message? Create an account in a few clicks or log in to continue.

XSS Security Fix

 :: Guides

Go down

XSS Security Fix Empty XSS Security Fix

Писане  suh1q Нед Мар 15, 2009 2:22 am

Здравейте , ще ви покажа поне основната XSS защита против хакери (това не означава че няма ви хакват от модули и тн Smile
Така:
Понеже повечето от вас няма да знаят как да го сложат в Index си ще ви покажа

Самия скрипт е този

Код:
<?php
$queryString = strtolower($_SERVER['QUERY_STRING']);

if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "log.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
echo "Вашата атака беше записане!";
}
?>

Слага се след <? в началото ви на Index-a и преди ?>

Принципно на секи muweb би трябвало да изглежда така Index-a

Код:
<?
session_start();
header("Cache-control: private");
ob_start();
$timeStart=gettimeofday();
$timeStart_uS=$timeStart["usec"];
$timeStart_S=$timeStart["sec"];
require("config.php");
include("includes/web_modules.php");
include("includes/clean_var.php");
include("includes/login.class.php");
include("includes/scripts/index.inc");
include("config.php");

//security
include "includes/Security.php";
$s = new Security;
$s->sanitize_input();

login();
logincheck();
check_user();
?>

И като добавим вече скрипта става така:

Код:
<?
session_start();
header("Cache-control: private");
ob_start();
$timeStart=gettimeofday();
$timeStart_uS=$timeStart["usec"];
$timeStart_S=$timeStart["sec"];
require("config.php");
include("includes/web_modules.php");
include("includes/clean_var.php");
include("includes/login.class.php");
include("includes/scripts/index.inc");
include("config.php");


login();
logincheck();
check_user();

$queryString = strtolower($_SERVER['QUERY_STRING']);

if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "log.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
echo "Вашата атака беше записане!";
}
?>

Тази защита е е тествана единствено на MUWEB !
След като запишете Index-a ще ви направи фаил log.txt в папката с саита ви и там ще ви пише всички опитвани атаки срещу вас !

Credits: Web-Tourist

Дано съм помогнал с този урок Smile
Успех на всички.
suh1q
suh1q

Брой мнения : 4
Registration date : 13.03.2009

http://Dreams-mu.tk

Върнете се в началото Go down

Върнете се в началото

- Similar topics

 :: Guides

 
Права за този форум:
Не Можете да отговаряте на темите