[Release] XSS Security Fix

Bupyc™ · Oct 24, 2008

Здравейте , ще ви покажа поне основната XSS защита против хакери (това не означава че няма ви хакват от модули и тн

)
Така:
Понеже повечето от вас няма да знаят как да го сложат в Index си ще ви покажа

Самия скрипт е този

PHP:

<?php
$queryString = strtolower($_SERVER['QUERY_STRING']);

if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "log.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
echo "Вашата атака беше записане!";
}
?>

Слага се след <? в началото ви на Index-a и преди ?>

Принципно на секи muweb би трябвало да изглежда така Index-a

PHP:

<?
session_start();
header("Cache-control: private");
ob_start();
$timeStart=gettimeofday();
$timeStart_uS=$timeStart["usec"];
$timeStart_S=$timeStart["sec"]; 
require("config.php");
include("includes/web_modules.php");
include("includes/clean_var.php");
include("includes/login.class.php");
include("includes/scripts/index.inc");
include("config.php");

//security
include "includes/Security.php";
$s = new Security;
$s->sanitize_input();

login();
logincheck();
check_user(); 
?>

И като добавим вече скрипта става така:

PHP:

<?
session_start();
header("Cache-control: private");
ob_start();
$timeStart=gettimeofday();
$timeStart_uS=$timeStart["usec"];
$timeStart_S=$timeStart["sec"]; 
require("config.php");
include("includes/web_modules.php");
include("includes/clean_var.php");
include("includes/login.class.php");
include("includes/scripts/index.inc");
include("config.php");


login();
logincheck();
check_user();

$queryString = strtolower($_SERVER['QUERY_STRING']);

if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "log.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
echo "Вашата атака беше записане!";
}
?>

Тази защита е е тествана единствено на MUWEB !
След като запишете Index-a ще ви направи фаил log.txt в папката с саита ви и там ще ви пише всички опитвани атаки срещу вас !

Credits: Web-Tourist

Дано съм помогнал с този урок

Успех на всички.

Murder · Oct 24, 2008

Does this realy work ?!?

ReaL · Oct 24, 2008

Yea, basicly :}
9/10

Lesh0 · Oct 24, 2008

Вирус 9/10 като за 1ва помощ ако мога да го кажа като даркстеам мембър Браво :handshake:

RhysFox · Oct 24, 2008

А така мойто момче. Гордея се с тебе

10/10

aLegRo0 · Oct 24, 2008

10/10 by me :

: good work VIRUS

Bupyc™ · Oct 24, 2008

Ако някои има проблем с поставянето и над лого-то му исписа Error on Line ... да ми пише ще му помогна

Ca4yYy · Oct 24, 2008

Thanks Bupyc ti si choveka

Bupyc™ · Oct 24, 2008

Лог файла log.txt засича атаките ето така :

Attack Date: 24-10-2008 @ 04:37:01 | Attacker IP: 83.143.148.31 | QueryString: /index.php?=op=character&character='';drop%20table%20character;--

aLegRo0 · Oct 24, 2008

virus write me to skype : profile86 now

NikeR · Oct 24, 2008

Браво това е 10% защита ::d:

Murder · Oct 28, 2008

имам 1 проблем сичко е ок но като цакна на Who is online от на savoy уеба ми пише че атаката е зашазена..

Dar3Ev1L · Oct 28, 2008

10/10 za mnogoto pisane

drugoto nego razbrah

kakawa · Nov 5, 2008

pls in english how to make... plss man ;(

Murder · Nov 5, 2008

use google translate...

KR373N · Nov 5, 2008

bupyc said:
Лог файла log.txt засича атаките ето така :

Attack date: 24-10-2008 @ 04:37:01 | attacker ip: 83.143.148.31 | querystring: /index.php?=op=character&character='';drop%20table%20character;--

това беше моя атака :d:d:d:d:d:d:d

Mephisto · Nov 5, 2008

lisko said:
Браво това е 10% защита ::d:

Сигурен ли си?
Знаеш ли кво е xss?
Ква е 50% защита?
кой е най-простия начин за защита?

Не знаеш ми тогава не казвай 10% щото е към 30 :chuckle:

Bupyc™ · Nov 5, 2008

KR373N said:
това беше моя атака :d:d:d:d:d:d:d

Смешник това е моито ип като проба го сложих не се праи на разбиращ :chuckle:

NikeR · Nov 5, 2008

mephisto said:
Сигурен ли си?
Знаеш ли кво е xss?
Ква е 50% защита?
кой е най-простия начин за защита?

Не знаеш ми тогава не казвай 10% щото е към 30 :chuckle:

се в гъс нали е някъв много малък процент

пък и записва ИПто в лога и ако ти не го баннеш нема

ReaL · Nov 5, 2008

Според мен няма смисъл от AutoBan Script към този secure, тъй като все пак щом е защитено от това (30%)... Къде е смисъла ? :}

[Release] XSS Security Fix

New Member

New Member

New Member

Active Member

New Member

New Member

New Member

Member

New Member

New Member

New Member

New Member

New Member

New Member

New Member

Well-Known Member

New Member

New Member

New Member

New Member

Similar threads