Как бороться с XSS раскруткой в шоп скрипте?

Статус
В этой теме нельзя размещать новые ответы.
N

nero11

Местный житель
Регистрация
8 Янв 2007
Сообщения
216
Реакции
21
Парни, каждый день в статистике вижу как кто то XSS раскруткой своих ресурсов занимается (по IP не отрубить, поначалу с украинсокого сервера работали, дедик австралийский:(

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.


Как бороться ? Может кто находил решение. Траф жрут, а самое главное роняют хостинг, за перегруз отключается.
 
Это скорее всего не раскрутка, а атака идет, поиск уязвимости. У меня тоже подобные дела проскакивали, смотрел по статистике.
у тебя переменная show_aux_page куда ведет и в каком формате. Если в числовом, обрубай такие запросы сразу таким макаром (если show_aux_page=1...1111)
PHP: 
if(!preg_match("|^[\d]*$|",$_GET['show_aux_page'])) exit("Недопустимый формат URL");
 
rex1963 написал(а):
у тебя переменная show_aux_page куда ведет и в каком формате. Если в числовом, обрубай такие запросы сразу таким макаром (если show_aux_page=1...1111)
Нажмите для раскрытия...


Дело в том, что не только в show_aux_page подставляют, а и многие другие страницы. Вложил кусок статистики. Это получется shop scripte практически все файлы вывода надо надо изменять?
 

Вложения

  • statistika.txt
    18,3 KB · Просмотры: 29
nero11 написал(а):
Парни, каждый день в статистике вижу как кто то XSS раскруткой своих ресурсов занимается (по IP не отрубить, поначалу с украинсокого сервера работали, дедик австралийский:(

*** скрытое содержание ***

Как бороться ? Может кто находил решение. Траф жрут, а самое главное роняют хостинг, за перегруз отключается.
Нажмите для раскрытия...
А что за движок, скажи...может помогу...если сталкивался с подобным.
 
Бьют по разным адресам, но по ходу, у вас одна страница с шаблоном и обработчик. вот в обработчик скрипта и ставь затычку. Перечисли переменные, которые приходят с массива. Кстати, скрипт работает с отключенным регистр глобалс?
 
если еще вопрос актуален, то можно решить для всех переменных, приходящих методом гет так

PHP: 
function mio($z) {if(!preg_match("|^[\d]*$|",$z)) exit("Недопустимый формат URL");}
array_map("mio",$_GET);
Функция отсекает все не числовые значения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху