Citat:
Originally posted by bivald@Dec 14 2006, 21:36
Vanan trogen brukar jag kolla efter sårbarheter (och även ta betalt för detta, men vi är alla vänner här) och ett snabbt test visar att du är sårbar för en rad XSS-attacker där användaren kan använda javascript lite hur han eller hon vill, t.ex. skicka vidare användaren, lägga in nya annonser, ändra layouten på din sida.
Verkar gälla i princip alla variabler på alla sidor vilket är rätt allvarligt. Du bör köra all info genom htmlentities() innan så slipper du problemet. Se http://www.hittajobb.se/index.php?a=adinfo&id=20 för ett exempel.
|
Jo jag såg din annons :P hur kunde man missa den. Hur gör man det du beskriver? Det är inte jag själv som programmerat sidan men om du har något enkelt exempel på hur man gör det där så är den informationen väldigt välkommen!
Tack för tipset om html, det finns väl nån kod för att lägga in icke html kod som visas om användaren inte kan visa html. typ <nohtml> eller va de va?
Sen har ja tänkt på det där med att lägga in en länk direkt så annonsen verifieras direkt man klickar på den, har bara inte kunskapen än att fixa det. Om det inte är som ja tror att man använder samma adress som sidan när man trycker på Verifiera knappen.