gototopgototop
Croos-site (XSS) - Joomla e segurança (artigo 4) PDF Imprimir E-mail

ataque xssCroos-site scripting (XSS) é um método de inserção de algumas instruções para que seja executado um código javascript, um objeto, ou código HTML quando um editor de HTML é disponibilizado para o usuário. Este código pode abrir uma janela oculta no sistema do usuário e gravar itens como nomes de usuários e senhas em outras janelas do navegador. O fato de um website permitir ao usuário postar conteúdo (uma das principais características da web 2.0), este vulnerabilidade tem aumentado e sido explorada ao máximo. Croos-site scripting é um ataque muito perigoso e deve ser evitado.

Estes tipos de ataques podem ser controlados através da interface de usuário do joomla. No entanto, a prevalência de extensões disponíveis que permitem inserção de código HTML, por exemplo (Livros de visitas e fóruns) significa que você deve estar alerta para prevenir esses tipos de ataque. Assegurar que as novas extensões façam a filtragem das tags utilizadas por este método de ataque (principalmente e ) antes de implantar a extensão ou o seu site.

PHP tem um conjunto de funções que podem lhe ajudar. A funçãp strip_tags () irá funcionar retirando todos as tags de HTML, XML e PHP, de uma seqüência de dados enviados e devolvendo o texto plano. Isto pode ser utilizado de forma muito eficaz se a sua aplicação não está esperando este tipo de formatação de texto como entrada. Para a formatação, você poderia usar BBCode, que é aceita sem ser afetada por essa função.

A função htmlentities () do PHP irá converter todos os caracteres não-alfanuméricos (como aspas, maior que, asterisco e assim por diante) para formatação HTML. Você também pode usar expressões regulares para tirar todos os caracteres especiais exceto alfanuméricos. Por último, em um campo Nome, você pode usar uma declaração como esta:

$myString = preg_replace("/[^a-z 0-9]/i", "", $myString);

  divulgue o artigo no orkut
Voltar

Your are currently browsing this site with Internet Explorer 6 (IE6).

Your current web browser must be updated to version 7 of Internet Explorer (IE7) to take advantage of all of template's capabilities.

Why should I upgrade to Internet Explorer 7? Microsoft has redesigned Internet Explorer from the ground up, with better security, new capabilities, and a whole new interface. Many changes resulted from the feedback of millions of users who tested prerelease versions of the new browser. The most compelling reason to upgrade is the improved security. The Internet of today is not the Internet of five years ago. There are dangers that simply didn't exist back in 2001, when Internet Explorer 6 was released to the world. Internet Explorer 7 makes surfing the web fundamentally safer by offering greater protection against viruses, spyware, and other online risks.

Get free downloads for Internet Explorer 7, including recommended updates as they become available. To download Internet Explorer 7 in the language of your choice, please visit the Internet Explorer 7 worldwide page.