SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Зарегистрироваться Войти
Q&A SEO
  1. Сообщество
  2. Вопросы и ответы
  3. Помогите - XXS!

Помогите - XXS!

Mirpotolkov Mirpotolkov  
21
  27.09.2024 09:29       465    

Привет неравнодушным!
У нас есть новый сайт https://mirpotolkov-54.ru/

Запустили неделю назад и стали пачками в AMO CRM приходить заявки а в почту письма такого содержания:

Заявка с сайта <script>alert('XSS')</script> <script>alert('XSS')</script>

Почту я могу конечно фильтровать по теме письма, но как настроить фильтр, чтобы такие заявки не приходили в AMO CRM? 

0

Ответы на пост (2) Написать ответ
Быстрая регистрация для ответа Войти
Magpul Magpul
11
11.10.2024 12:07
Для защиты от таких заявок, необходимо устранить уязвимость на сайте, связанную с XSS (межсайтовый скриптинг). Вот шаги, которые помогут предотвратить подобные атаки и защитить вашу CRM от подобных инъекций:

  1. Проверка входных данных: Убедитесь, что все входные данные, которые пользователь может отправить на сайт (формы, поля, запросы), тщательно проверяются и очищаются. Это можно сделать с помощью следующих методов:

    • Используйте HTML-теги или символы, чтобы обезвредить потенциальные скрипты. Например, вместо того, чтобы принимать ввод <script>alert('XSS')</script>, преобразуйте его в безопасный текст с помощью специальных символов, таких как <script>.
    • Запрещайте использование опасных символов в формах, таких как <, >, &, и используйте специальные библиотеки для очистки данных.
  2. Экранирование вывода: Убедитесь, что все данные, выводимые на страницу (включая имена, комментарии и прочее), экранируются. Это значит, что любые потенциально вредоносные символы будут преобразованы в безопасный формат для отображения на сайте.
  3. Использование защитных механизмов на сервере: Реализуйте механизм фильтрации данных на уровне сервера перед отправкой данных в AMO CRM:

    • Настройте валидацию данных на стороне сервера и обрабатывайте все вводимые данные перед сохранением их в базу данных или перед отправкой через API.
    • Используйте специальные библиотеки или встроенные механизмы фреймворков, которые помогают защититься от XSS (например, Django, Laravel, etc.).
  4. Фильтрация в AMO CRM: Хотя лучше решить проблему на стороне сайта, можно временно настроить фильтрацию в AMO CRM:

    • Используйте регулярные выражения для фильтрации входящих данных в CRM, проверяя наличие <script> или других потенциально опасных конструкций.
    • Если CRM поддерживает автоматическую фильтрацию, настройте правило, которое блокирует или удаляет заявки с подозрительным содержимым.
Но главное решение — это устранение уязвимости XSS на стороне вашего сайта. Если программист затрудняется с решением, возможно, стоит привлечь специалиста по веб-безопасности для аудита вашего кода и настройки надёжной защиты.
1
Решение
Christmas Fantasy Christmas Fantasy
0
21.10.2024 19:09
I already replaced nwjs in nwjsforc2 folder recently, but it was almost never stopping background processes after exiting the https://9apps.ooo/download/ program.
0

Похожие посты

Анализ сайта

Поможем улучшить ваш сайт.