rips php

Status
Niet open voor verdere reacties.
Laat je relevante code eens zien?
 
Heb je de X-XSS-Protection regel in .htaccess?
Code:
<IfModule mod_headers.c>
# disable last-modified for performance
Header unset Last-Modified
# disable etags
Header unset ETag
FileEtag None
# no sniffing
Header set X-Content-Type-Options nosniff
# must be same origin
Header set X-Frame-Options "SAMEORIGIN"
# no cross-site scripting
Header set X-XSS-Protection "1; mode=block"
</IfModule>
 
@bron ik kende deze nog niet en zeer vriendelijk bedankt

Maar ik zoek een mogelijkheid om met print xss uit te voeren dus een website te openen/inlezen
ik kan de fout niet genereren
print($_GET['find']); //en dan is ?find=een externe site
als ik de commentaar lees als 1e comment dan zou dat een lek zijn die ik nog niet kan testen om deze te verhinderen


wat moet ik van deze verwachten?
Header set X-Content-Type-Options nosniff


Header set X-Frame-Options "SAMEORIGIN"
 
Laatst bewerkt:
?find=een externe site
Waarom zou je dit willen?
In mijn htaccess blokkeer ik uri's met bepaalde inhoud zoals ?find=http://domein/pagina"
RewriteCond %{QUERY_STRING} http\: [OR] <-- voorbeeld van conditie
op deze manier heb ik diverse condities die aan het eind met 403 worden geblokkeerd.
 
Tja rips software beweert dat het mogelijk zou moeten zijn .

Ik ben gewoon moeilijk en wil het testen en het proberen het gevaar die zijn aangeven Effectief te vinden om het nadien te kunnen beveiligen.

Door te weten te komen dat dit effectief klopt en werkt maar ik krijg het niet werkende zoals zij aangeven.

En het betreft een cms die ik maak, stel dat men eens veranderingen aanbrengen het in beste geval nog veilig blijft.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan