validare textbox e consentire testo html

[U235]

Comunque, fatemi un esempio di "pericolosit�", che l'argomento mi sta interessando.

Ciao Pietro,
ad esempio si potrebbe far entrare nel codice uno script con un ciclo continuo che chiama (magari tramite ajax) un indirizzo specifico mandando in sovraccarico quella risorsa (che sia interna o esterna) ogni volta che un client carica e rimane sulla tua pagina "manipolata" (che continuerà incessantemente a chiamare la risorsa tramite ajax in tutti i client), facendo di fatto un attacco ddos tramite tutti i tuoi utenti (con il loro IP).
In realtà queste cose io non le faccio di sicuro, ma credo sia in linea teorica molto probabile se non metti un qualche tipo di blocco sull'input o in output.

[pietro09]

Ciao Pietro,
ad esempio si potrebbe far entrare nel codice uno script con un ciclo continuo che chiama (magari tramite ajax) un indirizzo specifico mandando in sovraccarico quella risorsa (che sia interna o esterna) ogni volta che un client carica e rimane sulla tua pagina "manipolata" (che continuerà incessantemente a chiamare la risorsa tramite ajax in tutti i client), facendo di fatto un attacco ddos tramite tutti i tuoi utenti (con il loro IP).
In realtà queste cose io non le faccio di sicuro, ma credo sia in linea teorica molto probabile se non metti un qualche tipo di blocco sull'input o in output.

Prima di tutto ti ringrazio del tuo intervento.
Però cerco di capire.
Quello che tu dici, se ho capito, è indipendente dal tipo di caratteri spediti nella richiesta. O sbaglio?

[U235]

Prima di tutto ti ringrazio del tuo intervento.
Però cerco di capire.
Quello che tu dici, se ho capito, è indipendente dal tipo di caratteri spediti nella richiesta. O sbaglio?

Grazie a te della discussione.
Non ho capito cosa intendi. Dicevo che se disabiliti la request validation e non fai un controllo manuale dell'input, la dove puoi far elaborare alla pagina un input del genere:

codice:

<b>qualcosa</b>

puoi far elaborare anche questo (sempre se incontrollato):

codice:

<script>qualcosa<script>

.
Ora immaginiamo il classico "muro" dove gli utenti inseriscono tag liberi per formattare il testo, questo significa che se io in qualche modo riesco ad inserire uno script come quello descritto nell'altro post, ogni volta che si visita il muro e si carica anche il messaggio contenente oltre il testo ben formattato e ben visualizzato (se no magari si accorge che c'è qualcosa di strano l'utente), conterrà anche il mio script. Diciamo che farei una cosa del genere (in pseudo codice semplificato):
input = "<b>Ciao! sono U235</b><script>codice malevolo</script>"
ora nella pagina per caricare i commenti fai una roba tipo:
<div><%=input%><div>
il risultato è che al caricamento della pagina da parte di tutti gli utenti sarà:
<div><b>Ciao! sono U235</b><script>codice malevolo</script><div>
e verrà visualizzato solo: Ciao! sono U235 mentre lo script che verrà elaborato (così come gli altri tag <b> ad esempio) in maniera invisibile farà il suo lavoro malevolo.

No?!

[pietro09]

Ho capito.
Io però davo per scontato che la visualizzazione sulla pagina venisse codificato per non essere interpretato. In altre parole, dò per scontato che il programmatore metta qualcosa del genere:

codice:

Me.Literal1.Text = "<pre>" & Server.HtmlEncode(fileText) & "</pre>"

[U235]

Certo, in quel caso già stai mettendo dei paletti in output. Il senso di quello che volevo dire è che se si lascia libertà e non si controlla (disabilitando la request validation), anche se il "sito" di per se non è "appetibile" per i suoi contenuti può comunque essere appetibile per essere usato come strumento. Anzi, meno importante è e meno è probabile che si accorgano, l'importante che abbia abbastanza attività per un ddos ("abbastanza" dipende da cosa voglio attaccare).