Microsoft выполнила серьезную работу, описав возможные хакерские приемы и способы борьбы с ними.

Microsoft выполнила серьезную работу, описав возможные хакерские приемы и способы борьбы с ними.

Теперь ваш уязвимый сценарий спокойно принимает параметр и преобразует его в HTML ссылку.

Хотя многие знакомы с концепцией атаки вставками в контексте SQL, совсем немногие задумывались над атаками вставкой HTML.

Они имеют огромное значение в мире SEO, т. к. их могут использовать (а иногда и используют) нечестные специалисты по поисковому маркетингу, чтобы повлиять на поисковый ранг. Если не выполнять литерализацию вводимого пользователем HTML, то отдельные умельцы могут сделать так, что ваш сайт будет голосовать или ссылаться на ужасно неэтичный Web-сайт. Конечно, вам следует застраховаться, чтобы не стать невольным пособником.

Для Web-сайтов с очень высокими требованиями к безопасности Microsoft также разработала библиотеку защиты от межсайтовых сценариев (AntiCross Site Scripting ip Library), которая определяет ограниченный набор разрешенных символов и фильтрует или кодирует все, что в этот набор не входит. Далее, демонстрируется базовая техника литерализации, которую следует применять при выводе на Web-странице любых данных, созданных не вами — например, пользовательских комментариев.

Пока все хорошо. Но что если бы у нас не было автоматической проверки запросов в ASP. Ведь бывают ситуации, когда необходимо принимать нормальные запросы, которые похожи на хакерские атаки, но на самом деле не являются ими. Для защиты от подобных атак необходимо правильно литерализовать все входные данные, предназначенные для вывода в HTML.

Ссылка будет вполне рабочей, но она не принесет пользы спамеру, т. к. ее ссылочная ценность сильно снижена. На самом деле атрибут nofollow не мешает распространять спам через комментарии и гостевые статьи. Атрибут поддерживается в настоящее время всеми основными поисковыми механизмами. Автоматические сценарии все равно могут атаковать ваш сайт — потому, что зачастую рассылка спама выполняется массово, и спамеры не исследуют конкретно ваш сайт.

Собственно, этот фрагмент кода выполняет поиск во входной строке всех соответствий выражению и посылает каждое из найденных соответствий в компонент для получения заменяющего значения. Компонент вызывает метод, передавая ему в качестве параметра это соответствие — объект. Разбор кода мы оставляем вам в качестве самостоятельного упражнения. В основном его логика сводится к простому последовательному определению, следует ли к строке, переданной в параметре. Поисковые алгоритмы могут среагировать на внедренные JavaScript перенаправления и наложить штраф на Web-сайт.


Карта сайта


Информационный сайт Webavtocat.ru