elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Aplicar seguridad XSS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Aplicar seguridad XSS  (Leído 3,766 veces)
bertamax

Desconectado Desconectado

Mensajes: 40


Ver Perfil
Aplicar seguridad XSS
« en: 22 Julio 2010, 09:47 am »

Hola,

Esta parte del código en java es vulnerable a XSS:

 <%String espe=es[1];%>
                    email antiguo: <input type="text" name="espeA" value=<%=espe%>><br>
                     <br>email nuevo: <input type="text" name="espe"><br>
                     <br><input type="submit" value="Modificar">
                <%}else{%>
                <input type="hidden" name="oculto" value="a">
                <%}%>
                <%if(request.getParameter("espe")!=null){
                String especialidad=request.getParameter("espe");
                int cod=Integer.parseInt(request.getParameter("oculto"));

He estado buscando cómo resolverlo por este foro, y he visto que podía añadir es script http://www.json.org/json2.jsp para resolverlo, pero no lo se hacer.
O añadir htaccess, pero tampoco lo se.

Por otro sitio he visto que se podía resolver con JSTL, y tambien con la librería ESAPI, pero con JSTL no me funciona y con ESAPI no tengo ni idea.

Total que despues de documentarme un monton estoy super perdida.

Me gustaría que me ayudaran a resolverlo, aunque sea de la manera más sencilla, porque soy principiante
En línea

Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Aplicar seguridad XSS
« Respuesta #1 en: 22 Julio 2010, 17:17 pm »

Código:
<%String espe=es[1];%>
                    email antiguo: <input type="text" name="espeA" value=<%=espe%>><br>
                     <br>email nuevo: <input type="text" name="espe"><br>
                     <br><input type="submit" value="Modificar">
                <%}else{%>
                <input type="hidden" name="oculto" value="a">
                <%}%>
                <%if(request.getParameter("espe")!=null){
                String especialidad=request.getParameter("espe");
                int cod=Integer.parseInt(request.getParameter("oculto"));
                especialidad = especialidad.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
                especialidad = especialidad.replaceAll("eval\\((.*)\\)", "");
                especialidad = especialidad.replaceAll("[\\\"\\\'][\\s]*((?i)javascript):(.*)[\\\"\\\']", "\"\"");
                especialidad = especialidad.replaceAll("((?i)script)", "");

Que me corrijan si me equivoco, pero creo que así no deberías tener problemas.

Saludos.
En línea

Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: Aplicar seguridad XSS
« Respuesta #2 en: 22 Julio 2010, 20:34 pm »

asdas html entities no te facilitaria el trabajo ?
saludos
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Aplicar seguridad XSS
« Respuesta #3 en: 22 Julio 2010, 20:41 pm »

usar google ps...

http://commons.apache.org/lang/api-release/org/apache/commons/lang/StringEscapeUtils.html#escapeHtml%28java.lang.String
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
bertamax

Desconectado Desconectado

Mensajes: 40


Ver Perfil
Re: Aplicar seguridad XSS
« Respuesta #4 en: 22 Julio 2010, 21:53 pm »

Gracias a todos por responder.

Muchas gracias Erfiug porque funciona.

 ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Aplicar funcion antes de compilar
Programación C/C++
SheKeL_C$ 2 1,736 Último mensaje 5 Abril 2016, 09:11 am
por MAFUS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines