Andrey_A
Guest
Требуется помощь по межсайтовому скриптингу (XSS)
Уважаемые мастера программирования. Подскажите как побороться со следующей проблемой.
Я использую на своем сайте готовый скрипт на PHP по отправке почтовой формы. Сервис хостера периодически проверяет сайт на уязвимости при помощи системы мониторинга информационной безопасности XSpider 7.
Выдается следующая информация:
Описание
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /form.php HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTsecurity
Content-Type: application/x-www-form-urlencoded
Content-Length: 89
require=XSS@<xscript>XSS</xscript>.com&zakaz[]=map17&radiobutton=nalogplateg&fio=1&city=1
Результат работы
<...>
n="center"><br><br><br><br><br><br>
<p align="center" class="mediumfont">Заказ не отправлен по причине:</p>
<span class="smallheadercolorblack">Отсутствует: XSS@<xscript>XSS</xscript>.com<br>
</span>
<p align="center" class="smallheadercolorred">Пожалуйста нажмите Backspace, чтобы вернуться в форму заказа и попробовать еще раз.</p><br>
<br><br><br><br><br><br><br><br><br>
</div></td></tr>
<...>
Решение
Запретить использование этого скрипта или программно исправить ошибку.
Запретить использование скрипта я не могу, а исправить не хватает знаний по PHP. Пожалуйста дайте дельный совет.
Уважаемые мастера программирования. Подскажите как побороться со следующей проблемой.
Я использую на своем сайте готовый скрипт на PHP по отправке почтовой формы. Сервис хостера периодически проверяет сайт на уязвимости при помощи системы мониторинга информационной безопасности XSpider 7.
Выдается следующая информация:
Описание
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /form.php HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTsecurity
Content-Type: application/x-www-form-urlencoded
Content-Length: 89
require=XSS@<xscript>XSS</xscript>.com&zakaz[]=map17&radiobutton=nalogplateg&fio=1&city=1
Результат работы
<...>
n="center"><br><br><br><br><br><br>
<p align="center" class="mediumfont">Заказ не отправлен по причине:</p>
<span class="smallheadercolorblack">Отсутствует: XSS@<xscript>XSS</xscript>.com<br>
</span>
<p align="center" class="smallheadercolorred">Пожалуйста нажмите Backspace, чтобы вернуться в форму заказа и попробовать еще раз.</p><br>
<br><br><br><br><br><br><br><br><br>
</div></td></tr>
<...>
Решение
Запретить использование этого скрипта или программно исправить ошибку.
Запретить использование скрипта я не могу, а исправить не хватает знаний по PHP. Пожалуйста дайте дельный совет.
