Перейти к публикации
Дизайн и модификация Invision Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
muslimgauze

Глюки редиректа через go.php

Автор: muslimgauze, в IP.Board 3.x

Рекомендованные сообщения

muslimgauze    14

muslimgauze
06/17/12 14:44

Метод редиректа внешних ссылок взят с этого форума.

 

<?
$urlgo = $_GET['url'];
if (!$urlgo || $urlgo == '') {$urlgo = $_SERVER['argv'][0];}
$urlgo = str_replace("&" , "&", $urlgo);
@header('Location: '.$urlgo);
echo "Перенаправление:<br /><br />Нажмите <a href=\"{$urlgo}\">сюда</a>";
?>

 

Но вот некоторые ссылки при редиректе превращаются в %$^%#@#!

 

Например внешняя ссылка http://www.pscb.ru/paybycard.aspx?service_id=288&pageuid=paybycard при публикации становится http://www.metallostroy.org/go.php?url=http://www.pscb.ru/paybycard.aspx?service_id=288&pageuid=paybycard

а при переходе выдается ошибка, потому что оно превращается в http://www.pscb.ru/paybycard.aspx?service_id=288?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard?pageuid=paybycard

 

что делать? ©

Поделиться сообщением

Ссылка на сообщение

Ritsuka    540

Ritsuka
06/17/12 14:52

Не использовать такой дебильный вариант реализации страницы перехода.

 

Как минимум, имеет смысл использовать base64-кодирование конечных URL, что, во-первых, скроет адрес внешней ссылки от глаз неопытных пользователей ПК, а во-вторых, избавит вас от проблем вроде указанной, когда htttp посредством urlencode преобразуется в кашицу, а назад разворачивается с трудом.

 

Как максимум, ссылки нужно собирать в табличку, и редирект осуществлять по идентификатору записи, одновременно ведя учет числа переходов.

Поделиться сообщением

Ссылка на сообщение

muslimgauze    14

muslimgauze
06/17/12 14:55
  17.06.2012 в 14:52, Ritsuka сказал:

Не использовать такой дебильный вариант реализации страницы перехода.

Что было предложено, то и использую :)

  Цитата

Как минимум, имеет смысл использовать base64-кодирование конечных URL, что, во-первых, скроет адрес внешней ссылки от глаз неопытных пользователей ПК, а во-вторых, избавит вас от проблем вроде указанной, когда htttp посредством urlencode преобразуется в кашицу, а назад разворачивается с трудом.

Как максимум, ссылки нужно собирать в табличку, и редирект осуществлять по идентификатору записи, одновременно ведя учет числа переходов.

А подробнее?

Даже возможно за $$$ :)

Поделиться сообщением

Ссылка на сообщение

Ritsuka    540

Ritsuka
06/17/12 15:07

Кстати, как вам такие ссылки:

 

http://www.metallostroy.org/go.php?\\\\\
http://www.metallostroy.org/go.php?url=%0A%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

 

Предложил вам, наверное, школьник с какого-нибудь нулледа? Их любимый мод. Через него потом очень удобно форумы "довольных клиентов" ломать.

Поделиться сообщением

Ссылка на сообщение

muslimgauze    14

muslimgauze
06/17/12 15:20
  17.06.2012 в 15:07, Ritsuka сказал:

Кстати, как вам такие ссылки:

 

http://www.metallostroy.org/go.php?\\\\\
http://www.metallostroy.org/go.php?url=%0A%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

 

Предложил вам, наверное, школьник с какого-нибудь нулледа? Их любимый мод. Через него потом очень удобно форумы "довольных клиентов" ломать.

 

Повторяю ещё раз: взято оно ОТСЮДА!

Поделиться сообщением

Ссылка на сообщение

Ritsuka    540

Ritsuka
06/17/12 16:57

Да, точно, BlackSeptember и есть тот "хакир" с нулледа, что всюду пытался пропихнуть данный "мод". Вы думаете, сменив более старую версию его поделки на новую, вы получили что-то лучшее, чем раньше, или хотя бы что-то безопасное? Все то же самое - XSS-уязвимость на месте:

 

http://www.metallostroy.org/go.php?go=4DdwlmcjN3L8kSZpt2bvNmL05WZtV3YvRGK0JXZsFmP0BXayN2c84jI

 

А все потому что нормальным людям такой мод в общем-то не нужен (какой в нем смысл?). А всяким доморощенным сеошникам хватает и дырявых поделок школьников с нулледа.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение

muslimgauze    14

muslimgauze
06/17/12 18:37
  17.06.2012 в 16:57, Ritsuka сказал:

Да, точно, BlackSeptember и есть тот "хакир" с нулледа, что всюду пытался пропихнуть данный "мод". Вы думаете, сменив более старую версию его поделки на новую, вы получили что-то лучшее, чем раньше, или хотя бы что-то безопасное? Все то же самое - XSS-уязвимость на месте:

 

А все потому что нормальным людям такой мод в общем-то не нужен (какой в нем смысл?). А всяким доморощенным сеошникам хватает и дырявых поделок школьников с нулледа.

 

Ну так что делать-то?

Поделиться сообщением

Ссылка на сообщение

Ritsuka    540

Ritsuka
06/18/12 05:36

Убирать всю эту ерунду.

 

Вы четко сформулировать можете, зачем вам она?

Поделиться сообщением

Ссылка на сообщение

muslimgauze    14

muslimgauze
06/18/12 15:28
  18.06.2012 в 05:36, Ritsuka сказал:

Убирать всю эту ерунду.

Вы четко сформулировать можете, зачем вам она?

 

Не могу :)

То есть, правильный ответ звучит как "Убери эту дрянь, всё-равно все внешние ссылки и так закрыты"? :)

Поделиться сообщением

Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
Перейти к списку тем

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
  • RU
×
  • Создать...