spam weren

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Android developer

De functie Schiphol is een plek om te reizen, te verblijven en te werken. Door middel van data en technologie richten we op al deze gebieden het leef- en werkklimaat optimaal in en zorgen we voor een slimmere en efficiëntere operatie. Wij ontwikkelen nieuwe producten en diensten vanuit de wensen en behoeften van onze klanten, voorspellen passagier flows en testen digitale oplossingen om rijen en andere pijnpunten in het proces te verminderen. Met slimme feedback van sensortechnologie maken we zelfs data van toiletten en stoelen inzichtelijk en bruikbaar. Het Commercial Platform bestaat uit multidisciplinaire teams met een end-2-end verantwoordelijkheid voor

Bekijk vacature »

Front-end Developer

Dit ga je doen Je komt in een DevOps-cultuur te werken waarbij je met je team werkt aan de front-end van diverse brand websites; Het ontwerpen van functionele en grafische ontwerpen die worden geïmplementeerd; Draagt zorg voor het maken van analyses; Je werkt nauw met je collega’s samen en geeft elkaar feedback en suggesties waar nodig; Het uitwerken van vraagstukken die afkomstig zijn van verschillende klanten; Hier ga je werken Deze marktleider op gebied van fietsen en fietservaring is gevestigd in twee provincies, verspreid over meerdere locaties. Jij zult voornamelijk in regio Joure aan de slag gaan. De organisatie doelt

Bekijk vacature »

Database ontwikkelaar

Functieomschrijving Wil jij aan gave logistieke softwareprojecten werken en bij een uniek softwarebedrijf in de regio van Tilburg? Wacht niet langer en reageer snel op deze vacature. Als Database ontwikkelaar ga je aan de slag het schrijven van stored procedures en verder uitbouwen van de SQL database. Je werkt in een database team, met allemaal mensen die energie krijgen van software en techniek. Verder krijg je als taak: Optimaliseren en uitbouwen van de MS SQL databases die gebruikt worden; Optimaliseren van query's, waardoor er efficiënter gewerkt kan worden; Je werkt met de technieken T-SQL of PL/SQL; Bij interesse kan je

Bekijk vacature »

C# .Net Developer

Dit ga je doen Het bouwen van Api's; Nieuwe oplossingen bouwen met C# .Net; De huidige software uitbouwen met C# .Net; Meewerken in projecten; Meedenken aan de toekomstplannen en verbeteringen; Onderdeel van het Scrum Team. Hier ga je werken Onze klant is een dienstverlenende organisatie voor diverse soorten organisaties in Nederland. Ze zijn van oorsprong een familiebedrijf en er is een open cultuur. Ze zijn vooruitstrevend op IT gebied en hebben een eigen inhouse development team van circa 11 man. Je komt hier te werken in het subteam .Net Core. Hier werken ze volgens scrum met de nieuwste technieken en

Bekijk vacature »

Software Ontwikkelaar PHP

Functie omschrijving Full Stack Software Ontwikkelaar gezocht! Voor een bedrijf in de regio van Ermelo zijn wij op zoek naar een Software Ontwikkelaar die gaat bijdragen aan het door ontwikkelen, onderhouden en optimaliseren van SaaS applicatie van dit bedrijf. Hierbij ga jij voor- en samenwerken met de klanten van de organisatie, het is hierbij dus van groot belang dat je communicatief vaardig bent en dat je beschikt over beheersing van zowel de Nederlandse als Engelse taal. Bedrijfsprofiel Waar ga je werken? Altijd al in een echt familiebedrijf willen werken? Dan is dit je kans! Het bedrijf waar je komt te

Bekijk vacature »

Senior pega developer

You work on software that makes colleagues and customers happy! Thanks to your IT skills, De Mandemakers Groep really makes a difference for its customers. Do coding, testing and deployments make your heart beat faster? Then apply today as Senior Pega Developer at De Mandemakers Groep! Wat ga je doen? The job title gives it away: You will be developing Pega software. This ranges from technical design, coding and testing to test automation, deployments and bug fixing. Your goal is to continuously improve our systems so that colleagues can work efficiently and customers receive optimal service. You don't have to

Bekijk vacature »

Database Developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als Database Developer met MS SQL of een vergelijkbare database? Wil jij werken voor een gewaardeerde werkgever in regio Tilburg waar jij de tijd en ruimte krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je houdt je bezig met het creëren en bouwen van MS SQL server databases; Je gaat projecten vanaf het begin tot het eind begeleiden. Je sluit aan bij meetings met klanten om hun processen in kaart te brengen. Vervolgens voer jij het project uit en zorgt dat dit zo goed mogelijk verloopt; Je werkt

Bekijk vacature »

Front-end Developer Angular

Dit ga je doen Jouw taken als Front End Developer bestaan uit: Het ontwikkelen van maatwerkoplossingen voor klanten; Het meedenken over nieuwe tools en technieken; Het begeleiden van junioren; Het meewerken aan diverse projecten; Het meedenken in UX/UI design. Hier ga je werken Als Front-End Developer ga je in een Scrum team aan de slag met de nieuwste digitale technologieën om klanten en overheden over de hele wereld te ondersteunen met het ondersteunen van hun software, veelal op het gebied van watermanagement en infra. Door middel van real-time data in combinatie met voorspellende analyses, AI, Deep Learning en Machine Learning

Bekijk vacature »

Medior Java developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Junior .NET developer

Functie Ons programma is voor afgestudeerde enthousiastelingen die het als een uitdaging zien om met een klein dynamisch team bij de grootste bedrijven van Nederland aan de slag te gaan. Tijdens jouw dienstverband word jij begeleid door een talent manager. Het ontwikkelen van jouw talent staat hierbij centraal. Het programma doorloop je met een team van circa 8 Mede- trainees. De eerste maand start je met een fulltime inhouse opleiding. Deze staat geheel in het teken van de werkzaamheden die jij verder in het programma zult uitvoeren. Na deze opleidingsmaand ga je aan de slag in een dynamische omgeving bij

Bekijk vacature »

Senior .Net developer

Sogeti is een organisatie met een goede werksfeer en zo min mogelijk hiërarchische verhoudingen. Ga je bij ons als .Net Developer aan de slag? Dan werk je dagelijks met collega’s aan de mooiste IT-projecten. Deze snelgroeiende groep collega’s krijgt energie van hun vak en dat merk je op de werkvloer. Natuurlijk krijg jij de mogelijkheid je te certificeren. We organiseren regelmatig technische Meet-ups en doen we veel aan kennisdeling. Mede hierdoor zij wij dit jaar Microsoft Partner of the year geworden. Sogetisten staan klaar voor elkaar, hebben lol met elkaar en daarmee behalen we de mooiste resultaten! Werken bij Sogeti

Bekijk vacature »

(Lead) PHP Software Developer

Functie omschrijving Voor een klein softwarebedrijf in Breda, zijn wij op zoek naar een PHP software developer met een aantal jaar werkervaring. Je krijgt een plek in een klein team met 2 andere software developers. Wil jij graag werken met de nieuwste technieken bij een bedrijf waar jij de lead gaat nemen in de verder ontwikkeling en modernisering van een eigen software pakket? Dan ben je hier aan het juiste adres! Jouw werkzaamheden gaan er als volgt uit zien: Je gaat aan de slag met de ontwikkeling en vernieuwing van het "in-house" ontwikkelde multimedia platform. Je neemt de lead in

Bekijk vacature »

.NET developer

Functie Als .NET developer start jij in een development team met één Senior .NET developer en één junior .NET developer. Als team zijn jullie verantwoordelijk voor het schrijven van software voor onze toonaangevende Automatiseringssystemen. Jij gaat aan de slag met de onderhoud van de kernsoftware, ondersteund de software van derden door het gebruik van onze webservices en als team zijn jullie verantwoordelijk voor het ontwikkelen van onze backend oplossingen. Wij maken op dit moment veel gebruik van .NET met ASP.NET. Komend kwartaal gaan wij wel gedeeltelijk overstappen naar .NET Core. Verder werken wij ook met SOAP, REST, JSON, HTML5, CSS3

Bekijk vacature »

Software Developer C# / ASP .Net

Functie omschrijving Ben jij een software ontwikkelaar die bekend is met termen ASP .NET, C# en SQL? Lees dan snel verder! Voor een bedrijf binnen de agrarische sector zijn wij namelijk op zoek naar een zelfstandige, enthousiaste en proactieve Software Developer die open staat voor een afwisselende functie met veel uitdaging. Binnen deze organisatie ben jij als Software Developer samen met één andere collega verantwoordelijk voor de ontwikkeling en modificatie van het support en controle programma dat binnen dit bedrijf gebruikt wordt. Hierbij draag jij bij aan de vertaling van klantwensen naar effectieve softwareoplossingen. Daarnaast ben je verantwoordelijk voor: Schatten

Bekijk vacature »

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collega’s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »
Tortuga web

tortuga web

27/04/2015 12:55:36
Quote Anchor link
Hallo,
Ik heb sinds een weekje een gastenboek online staan en ja hoor, er komt al spam binnen.
Tot nog toe wist ik het enigzins (in een formulier had ik dat zo) te vermijden met de honeypot methode (een inputveld dat leeg moet zijn en de style nodisplay meekrijgt), maar dit werkt dus niet meer.
Nou gebruik ik voor dat gastenboek tinymce en min of meer per ongeluk, worden de commentaren opgeslagen in de dbase met de html, head en body tags. Nou zag ik dat de spambot deze niet schrijft, dus heb ik om te beginnen het script aangepast, zodat alleen commentaren mét <!DOCTYPE html> worden weergegeven. Maar nu twijfel ik of:
1. Het wel veilig is dat die tags met de tinymce in de database terechtkomen. (Ik gebruik trouwens pdo try/catch om weg te schrijven in de dBase.)
2. De spam staat dan wel tot aan verwijderen in de database, is dat onveilig?
Graag jullie mening.
 
PHP hulp

PHP hulp

29/03/2024 00:12:30
 
Eddy E

Eddy E

27/04/2015 13:25:00
Quote Anchor link
Kan je niet gewoon, bij het opslaan al, controleren of het begint met <!DOCTYPE?
Zo nee: gewoon niet opslaan en het script laten sterven?

Na een sleep() van 28 seconden uiteraard!
Gewijzigd op 27/04/2015 13:25:20 door Eddy E
 
- Ariën  -
Beheerder

- Ariën -

27/04/2015 13:27:01
Quote Anchor link
Waarom zou je HTML via TinyMCE willen toestaan? Best een behoorlijk veiligheidsrisico met XXS.

Waarom niet gewoon plain text opslaan en HTML eruit filteren. Een captcha erbij om de spam écht te weren, en je bent klaar.
Gewijzigd op 27/04/2015 13:27:38 door - Ariën -
 
Thomas van den Heuvel

Thomas van den Heuvel

27/04/2015 14:19:06
Quote Anchor link
- Aar - op 27/04/2015 13:27:01:
Waarom niet gewoon plain text opslaan en HTML eruit filteren.


Als je hiermee bedoelt: HTML eruit filteren voordat je opslaat, dan lijkt mij dit geen goed idee, omdat je hiermee allerlei interpretaties op de gesubmitte tekst toepast. En interpretaties kunnen nou eenmaal fout zijn. Daarnaast is dit wederom een soort van blacklist. Het nadeel van blacklists is: vergeet je een geval, dan ben je de sjaak. Tevens, als je input op voorhand stript is het niet meer mogelijk om deze op enig moment te wijzigen. Het beste is gewoon om berichten (en vaak, data in het algemeen) in hun rauwe, ongewijzigde vorm op te slaan. En/of gewoon eisen dat dit voldoet aan een bepaalde vorm/patroon.

Sowieso is het vreemd dat er complete HTML-documenten worden opgeslagen? Dit zouden (in de meest uitgebreide vorm) snippets HTML moeten zijn, maar geen complete documenten - je voegt deze berichten toch in in een webpagina ofzo?

---

Ook hier kun je je weer bedienen van het credo filter input, escape output. Input filtering zou oa kunnen plaatsvinden door een CAPTCHA. Of je zou een token kunnen toevoegen aan het formulier zodat CSRF niet mogelijk is (maar misschien is dat niet genoeg, je legt hiermee wel de lat wat hoger).

Bij het afdrukken van het bericht dient alle output (wat voorheen USER INPUT was) ge-escaped te worden en misschien kun je enkele UBB-codes toestaan (dit is dus een whitelist ipv een blacklist).

Vertrouw nooit user input.
 
Tortuga web

tortuga web

27/04/2015 14:45:29
Quote Anchor link
@Aar: Dat is dus één van m´n vragen, wat is het veiligheidsrisico? Tinymce is juist er voor bedoelt dat er html-tags worden toegestaan voor de opmaak en images van een bericht.
Uiteraard is een header volstrekt overbodig, hoewel ik me afvraag of het ook onveilig is, maar ik had deze instelling van tinymce over het hoofd gezien, waardoor die tags wel in de database mee opgeslagen worden. En daardoor zag ik dus het verschil tussen berichten ingevoerd via de webpagina en de spambot. En is het natuurlijk een eenvoudige manier om de spambots te weren. Uiteraard Eddy, beter al voordat het de database ingaat.
Maar als ik dat doe, dan hou ik dus de html, head en body tag in m´n database. Problemen heb ik er zo te zien niet mee, alleen dus de vraag van het veoiligheidsrisico.


Toevoeging op 27/04/2015 14:47:32:

Thomas van den Heuvel op 27/04/2015 14:19:06:
- Aar - op 27/04/2015 13:27:01:
Waarom niet gewoon plain text opslaan en HTML eruit filteren.


Ook hier kun je je weer bedienen van het credo filter input, escape output. Input filtering zou oa kunnen plaatsvinden door een CAPTCHA. Of je zou een token kunnen toevoegen aan het formulier zodat CSRF niet mogelijk is (maar misschien is dat niet genoeg, je legt hiermee wel de lat wat hoger).


Wat is dat: CSRF?
 
Thomas van den Heuvel

Thomas van den Heuvel

27/04/2015 14:58:20
Quote Anchor link
Cross Site Request Forgery. Als je geen token of equivalent inbouwt in jouw formulier op site A, dan kan iemand vanaf site B een POST request sturen naar de verwerk-actie voor het plaatsen van een bericht. Zo kan men je site dus zelfs "remote" spammen.

Door middel van het inbouwen van een token dwing je (in ieder geval) af dat het POST request vanaf jouw domein geschiedt.

En over HTML en dergelijke toestaan in berichten: een kwaadwillende partij kan dan waarschijnlijk ook een stuk JavaScript invoegen waarmee jouw cookie-informatie ongemerkt naar hun wordt doorgestuurd op het moment dat je het bericht bekijkt.

Als jij dan toevallig als admin ingelogd bent (via sessies) en jouw loginmechanisme heeft geen IP-check (of men weet ook je IP) dan kan je sessie (en daarmee jouw identiteit als admin) mogelijk gehijacked (gekaapt) worden.

Ik herhaal: Vertrouw nooit user input.
:p
Gewijzigd op 27/04/2015 15:03:03 door Thomas van den Heuvel
 
- Ariën  -
Beheerder

- Ariën -

27/04/2015 20:47:04
Quote Anchor link
Tortuga web op 27/04/2015 14:45:29:
@Aar: Dat is dus één van m´n vragen, wat is het veiligheidsrisico? Tinymce is juist er voor bedoelt dat er html-tags worden toegestaan voor de opmaak en images van een bericht.

Het ligt eraan hoe die door de POST-request gaan. Hopelijk niet in HTML, maar in ongevaarlijke code zoals UBB. Als het HTML-codes zijn, is er een gevaar voor XXS, waarbij op sluwe doch simpele wijze cookies kunnen worden gestolen.

Thomas van den Heuvel op 27/04/2015 14:58:20:
En over HTML en dergelijke toestaan in berichten: een kwaadwillende partij kan dan waarschijnlijk ook een stuk JavaScript invoegen waarmee jouw cookie-informatie ongemerkt naar hun wordt doorgestuurd op het moment dat je het bericht bekijkt.

Dat is XSS dus!
Gewijzigd op 27/04/2015 20:57:42 door - Ariën -
 
Tortuga web

tortuga web

27/04/2015 21:12:55
Quote Anchor link
@Aar:
http://blog.kotowicz.net/2010/09/bbcode-wont-protect-you-from-xss.html
Volgens deze site is BBcode ook niet de oplossing.
Omdat het gastenboek dat ik gemaakt heb, maar beperkte mogelijkheden hoeft te kennen, heb ik vandaag een whitelist gemaakt.
Om te checken wat mogelijke hackers and other evil persons or computers kunnen dumpen, gebruik ik deze pagina: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
Die lijkt me behoorlijk compleet.
 
Thomas van den Heuvel

Thomas van den Heuvel

27/04/2015 21:33:28
Quote Anchor link
Tortuga web op 27/04/2015 21:12:55:
@Aar:
http://blog.kotowicz.net/2010/09/bbcode-wont-protect-you-from-xss.html
Volgens deze site is BBcode ook niet de oplossing


Uhh, de "exploit" die daar wordt aangehaald betreft een bagger implementatie van UBB-functionaliteit in JavaScript. Als je eerst zorgt dat al je output ge-escaped wordt met bijvoorbeeld htmlentities() en je daarna in PHP (niet met een of ander lijp stuk JavaScript) je UBB-tags omschrijft kan er eigenlijk weinig misgaan. Daarbij moet je natuurlijk wel een beetje je gezond verstand blijven gebruiken. Ook is het van groot belang dat je overal dezelfde character encoding toepast, anders werkt je escaping functionaliteit naar alle waarschijnlijkheid niet goed.

Het is trouwens helemaal niet erg om HTML op te slaan, mits je de persoon die dit doet maar vertrouwt :). Maar dat kun je dus alleen maar bereiken als je gebruikers kunt identificeren (dmv een loginsysteem) en je hun expliciet toestemming geeft om dit te kunnen doen.

In dat geval (en alleen in dat geval) escape je de output niet, en alleen als het echt de bedoeling is dat de input ook echt als HTML gebruikt dient te worden.
 
- Ariën  -
Beheerder

- Ariën -

27/04/2015 21:34:05
Quote Anchor link
BBCode is an sich WEL veilig, maar het ligt eraan wat je toestaat. Er valt met reguliere expressies en controles zeker wel een hoop te beveiligen.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.