Нові можливості безпеки ядра скрипта

Не даремно люди кажуть що “Все геніальне просто, але не все просте геніально”. Хотілося б представити вам нову можливість безпеки ядра скрипта від проведення XSS атак і MySQL ін’єкцій. Більше 90% різного роду атак і сканувань відбувається шляхом маніпуляції рядком браузера і передачею зловмисного коду методом GET. На даний момент безпека зводилася до ретельної фільтрації вхідних даних, і змінні очищалися від можливого шкідливого коду. Це дає безпеку самого скрипта, але якщо встановлений сторонній модуль, безпека сайту залежить вже від того потурбувався про це автор, чи ні. Та й не завжди вдається якісно очистити вхідний код, деякі змінні можуть бути забуті. Після недовго роздуми над цим прийшла досить проста думка достатньо перевірити рядок URL браузера на наявність 3 символів щоб повністю виключити можливість XSS і MySQL ін’єкцій, а також виключити сканування скрипта на наявність уразливих змінних. Дана можливість буде включена в нову версію скрипта 5.2. Але ця версія ще перебуває на стадії розробки, тому я пропоную вам скористатися цією можливістю вже зараз.

Унікальність даного методу полягає в тому що він не перевіряє якісь окремі змінні, а перевіряє весь потік інформації, що надходить з URL браузера, при знаходженні символів ” ‘ ../ ./ > < повністю блокує роботу скрипта ще до початку його виконання. Причому абсолютно неважливо в якому вигляді надходять ці символи, будь те пряме введення або з використанням спецсимволов HTML. Для роботи ж самого скрипта ці символи в рядку URL абсолютно не потрібні.

Отже вистачить вступу що вам необхідно зробити, щоб мати даний метод блокування вже зараз. Це застосовне для всіх версій DataLife Engine.

Увага! Перегляд інформації доступний тільки користувачам, що мають ліцензію на скрипт. Якщо ви вже купували скрипт, то вам необхідно зайти на сайт під своїм клієнтським аккаунтом.

Посилання для прикладу:
http://dle-news.ru/user/celso’ft/
http://dle-news.ru/index.php?do=pm&doaction=newpm&user=1″+union%20SQL
http://dle-news.ru/index.php?do=newmodul&mydata=alert(XSS)
108