HTML injection

0
2271

Denne tekst hjælper dig med at blive klogere på HTML injection – hvad er html injection, eksempel på html injection og hvordan du kan beskytte dig mod html injection.

HTML Kode - Bliv klogere på HTML Injection
HTML Kode – Bliv klogere på HTML Injection

Hvad er html injection?

Html injection fungerer meget på samme måde som SQL injection. Man indsætter noget html kode på en hjemmeside, som så bruges til at passere begrænsninger eller lave direkte om på en hjemmeside.

Html injection er som regel ret fredeligt, men det kan gå hen og give problemer, hvis hackeren fx får lavet noget om de rigtige steder, eller måske ender med at gøre ens site meget tung, da der bliver uploadet mange tunge filer

SQL injection går kort sagt ud på at man indsætter sql queries, som så kan bruges til at give indblik – ændre i databaser.

Eksempel på hvordan HTML injection virker.

På et online forum har man som regel en tekst editor, som kan nogle få ting – lave skriften fed, skråskrift, tilføje links osv. Mængden af disse funktioner varierer fra tekst editor til tekst editor.

Et eksempel kan fx være at man gerne vil sende et billede i en tråd på et forum. I det pågældende forum er der en tekst editor, hvor der ikke er funktionalitet til at tilføje billeder. I stedet kan man prøve at skrive noget html kode fx <img src=”www.enHjemmeside.dk/LækkerTøs.jpg”></img> – hvis der ikke er lukket for html injection, så vil der blive indsat et billede i tråden på det pågældende forum.

Hvordan kan man beskytte sig imod html injection?

Man kan beskytte sig mod html injection ved kode sin side, så den ikke godtager ren html. En funktion som fjerner html fra teksten, eller som måske bare indsætter koden som ren tekst, så der ikke sker nogen skade.

Hvis man har lavet sin hjemmeside i .NET, er der automatisk blokeret for html injection i tekstbokse.

Vil du læse mere om it sikkerhed? Kontakt en udvikler med erfaring i it-sikkerhed eller læs mere om sql injection.

Tidligere artikelSql injection
Næste artikelBrute force
Thomas Bonderup
Hej, jeg hedder Thomas Bonderup. Jeg arbejder til dagligt som IT konsulent. Derudover har jeg en datamatiker uddannelse, professionsbachelor i softwareudvikling samt en Cand.scient. i datalogi og informatik. Du er velkommen til at connecte med mig via LinkedIn, hvis du har brug for lidt sparring i forbindelse med din it-uddannelse, eller bare har en stor passion for it ligesom mig.

EFTERLAD ET SVAR

Please enter your comment!
Please enter your name here