Kirjoittanut Teemu Vesala | 07.01.2010

Web-lomakkeen maagiset merkit

Jokainen web-sovelluksen lomake olisi hyvä testata muutamalla maagisella merkillä, koska ne aiheuttavat luvattoman monta tietoturvavirhettä web-sovelluksissa. Nuo maagiset merkit ovat: ’, ”, >, <, \” ja \’.

Merkkijonot, joita minä käytän, ovat useimmiten: aaaaa'”bbb>ccccc<i>iii</i>. Tällä paljastuu nopeasti verkkosivun rakenteen rikkoutumiseen liittyvät bugit (cross site scripting, XSS). Jos sivulle tulee näkyviin väärään paikkaa ccccc tai iii, sivu on rikki. Kannattaa katsoa myös sivun lähdekoodi, josta saattaa paljastua merkkijonon virheellinen käsittely.

Tämän ongelman seuraukset? Tanssiva Rick Astley laulamassa Never Gonna Give You Up -laulua (kuten Tiedon rekrytointi sivuilla yhdessä vaiheessa), haittaohjelman levittämiskanava tai phishing-hyökkäys. Tuon virheen yleisyys taas on… noh – löytyy lähes joka sivulta kunhan vähän aikaa jaksaa etsiä.

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

Kategoriat

%d bloggers like this: