html in gatenboeken

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Senior Java Developer Onderzoeksinstituut Architec

Bedrijfsomschrijving Als Senior Java Developer kom je te werken bij een internationaal gerenommeerd onderzoeksinstituut. Dagelijks is dit instituut verantwoordelijk voor de juiste samenwerking, toegankelijkheid en communicatie voor circa 9000 interne gebruikers. In een team van elf ontwikkelaars ben je als Senior Java Developer verantwoordelijk voor het ontwikkelen van functionele ontwerpen naar technische oplossingen. Deze projecten bestaan o.a. projecten zoals het implementeren van Elastic Search en het koppelen van CMS. Ook fungeer je als vraagbaak voor je collega’s op het gebied van backend softwareontwikkeling. Daarnaast denk je graag mee op het gebied van architectuur qua mogelijke oplossingen en innovatie. Momenteel zijn

Bekijk vacature »

Crude Oil

Crude Oil

02/08/2010 18:33:17
Quote Anchor link
Hoi,
Ik kom weleens sites tegen met gastenboeken die gewoon alle html die je invult toestaan. Is dat onveilig?
 
PHP hulp

PHP hulp

21/10/2020 11:44:37
 
Jurrian Nijland

Jurrian Nijland

02/08/2010 18:37:20
Quote Anchor link
Gatenboeken? Da's nieuw voor mij.

Maar goed, even antwoord op je vraag, dat is inderdaad onveilig. Je zou dus zo een scherm kunnen laten openen met virussen etc. Het kan zijn dat je het niet helemaal begrepen hebt, het kan natuurlijk ook zijn dat alleen basis-HTML toegestaan word, zoals <b> of <i> .
 
Crude Oil

Crude Oil

02/08/2010 18:39:30
Quote Anchor link
nee voor zover ik weet staat deze alles toe wat ingevoerd wordt.
 
Jurrian Nijland

Jurrian Nijland

02/08/2010 18:44:21
Quote Anchor link
Hmm, dan is het nogal onveilig.
 
- Ariën -
Beheerder

- Ariën -

02/08/2010 19:12:56
Quote Anchor link
Ja, Google of Wikipedia maar eens op XSS of Cross Site Scripting.
Gewijzigd op 02/08/2010 22:20:38 door - Ariën -
 
Pim -

Pim -

02/08/2010 19:59:58
Quote Anchor link
Welke sites dan? ;)
 
Wouter De Schuyter

Wouter De Schuyter

02/08/2010 20:08:12
Quote Anchor link
Ja dan is dat onveilig, ja ik ben er weer met m'n iframe hacks, men kan je ftp en dus volledige site hacken mbv een iframe.
http://www.inventis.be/blog/is-je-website-beveiligd-tegen-iframe-hacks
 
P Lekensteyn

P Lekensteyn

02/08/2010 21:27:12
Quote Anchor link
Sla nooit wachtwoorden op met Filezilla.
Deze worden plaintext op de schijf gezet, zo is het voor een trojaans paard kinderspel natuurlijk.
 

02/08/2010 21:39:18
Quote Anchor link
Paradox - op 02/08/2010 20:08:12:
Ja dan is dat onveilig, ja ik ben er weer met m'n iframe hacks, men kan je ftp en dus volledige site hacken mbv een iframe.
http://www.inventis.be/blog/is-je-website-beveiligd-tegen-iframe-hacks


Wat ingewikkeld. Gewoon met javascript een bestand aanroepen wat als parameter de document.cookie hebt. Klaar.
 
Niek s

niek s

02/08/2010 21:39:45
Quote Anchor link
Aar anoniem op 02/08/2010 19:12:56:
Ja, Google of Wikipedia maar eens op XXS of Cross Site Scripting.


Zoeken op XXS zal niet veel opleveren, zoek maar gewoon op XSS ;) Simpel: De X staat voor "Cross" (vandaar ook dat de X lijkt op een cross, daar komt het vandaan, grappig he? HAHAHA)


Dus.
 

02/08/2010 21:42:08
Quote Anchor link
Niek s op 02/08/2010 21:39:45:
Aar anoniem op 02/08/2010 19:12:56:
Ja, Google of Wikipedia maar eens op XXS of Cross Site Scripting.


Zoeken op XXS zal niet veel opleveren, zoek maar gewoon op XSS ;) Simpel: De X staat voor "Cross" (vandaar ook dat de X lijkt op een cross, daar komt het vandaan, grappig he? HAHAHA)


Dus.



En anders heb je CSS....
 
Wouter De Schuyter

Wouter De Schuyter

02/08/2010 22:18:39
Quote Anchor link
Peter aka Lekensteyn op 02/08/2010 21:27:12:
Sla nooit wachtwoorden op met Filezilla.
Deze worden plaintext op de schijf gezet, zo is het voor een trojaans paard kinderspel natuurlijk.


Wat heeft dit hier nu mee te zien?
 
Johan Dam

Johan Dam

03/08/2010 08:37:08
Quote Anchor link
Op zulke plekken vul ik meestal iets in als het volgende:

<script>alert('Deze website is niet beveiligd tegen XSS')</script>

Dit is een relatief onschuldig iets maar zal de webmaster (met wat geluk) er wel toe bewegen om toch maar s wat meer controle in te zetten.

Ik ken zelfs iemand die op deze manier een paar leuke euros verdiend heeft. (Hij had zijn email adres er ingevuld met het aanbod de webmaster te helpen om de site veiliger te maken)
 
- Ariën -
Beheerder

- Ariën -

03/08/2010 08:41:33
Quote Anchor link
Paradox - op 02/08/2010 20:08:12:
Ja dan is dat onveilig, ja ik ben er weer met m'n iframe hacks, men kan je ftp en dus volledige site hacken mbv een iframe.
http://www.inventis.be/blog/is-je-website-beveiligd-tegen-iframe-hacks

FTP hack je er niet mee met deze exploit, dat gaat via een Trojan, die in vele gevallen al geblokkeerd zal worden door menig virusscanner. En dan is het de vraag of de FTP-wachtwoorden opgeslagen zijn, en hoe ze opgeslagen zijn.
Gewijzigd op 03/08/2010 08:42:10 door - Ariën -
 
Chris -

Chris -

03/08/2010 09:09:49
Quote Anchor link
Paradox - op 02/08/2010 20:08:12:
Ja dan is dat onveilig, ja ik ben er weer met m'n iframe hacks, men kan je ftp en dus volledige site hacken mbv een iframe.
http://www.inventis.be/blog/is-je-website-beveiligd-tegen-iframe-hacks


Wouter, dit is de grootste onzin. Dit heeft totaal niets te maken met het topic?!

TS: HTML in je gastenboek kan, maar wees voorzichtig met welke tags je toelaat ;-) Eigenlijk behoor je geen HTML toe te staan.
 
Johan Dam

Johan Dam

03/08/2010 09:59:40
Quote Anchor link
@chris, dat is ook weer wat overdreven, je kan rustig 'onschuldige' tags toelaten als <b> <i> <u> enz, voor de <a> is ook wat te zeggen.

Maak een whitelist met tags en stop die in een strip_tags, heb gehoord dat dat redelijk veilig is, zelf niet uitgeprobeerd eerlijk gezegd, ik heb op het moment geen sites waar het wenselijk is html aan toe te voegen.

P.S.
Verzin ook wat zodat er geen 'open' <b> tags in je script voorkomen, anders maak je de rest van je site bold.
 

03/08/2010 10:07:54
Quote Anchor link
Johan Dam op 03/08/2010 09:59:40:
@chris, dat is ook weer wat overdreven, je kan rustig 'onschuldige' tags toelaten als <b> <i> <u> enz, voor de <a> is ook wat te zeggen.

Maak een whitelist met tags en stop die in een strip_tags, heb gehoord dat dat redelijk veilig is, zelf niet uitgeprobeerd eerlijk gezegd, ik heb op het moment geen sites waar het wenselijk is html aan toe te voegen.

P.S.
Verzin ook wat zodat er geen 'open' <b> tags in je script voorkomen, anders maak je de rest van je site bold.


Nee, zie warnings op php.net.
 
P Lekensteyn

P Lekensteyn

03/08/2010 12:19:02
Quote Anchor link
Paradox - op 02/08/2010 22:18:39:
Peter aka Lekensteyn op 02/08/2010 21:27:12:
Sla nooit wachtwoorden op met Filezilla.
Deze worden plaintext op de schijf gezet, zo is het voor een trojaans paard kinderspel natuurlijk.


Wat heeft dit hier nu mee te zien?


Reactie op jouw opmerking over FTP.

Als je echt zo nodig HTML wilt toelaten, gebruik dan HTML Purifier
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.