elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  soluciones simples al injection html y al cros site script
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: soluciones simples al injection html y al cros site script  (Leído 4,017 veces)
Kase


Desconectado Desconectado

Mensajes: 1.288


programa bonito ¬¬


Ver Perfil WWW
soluciones simples al injection html y al cros site script
« en: 20 Julio 2011, 06:43 am »

bueno, creo que estos errores son de cualquier novato que no conoce la malia de la gente..  e incluso a cualquiera sele pueden pasar

ami me ocurrio aller,   deje vulnerable un sitio a  cros stite scripting y unos camaradas se dieron cuenta y me jodieron un poco para  que lo corrijiera y en otro sitio tengo html injection ( por que me era indispensable que el usuario pudiera meter html)

y bueno para el html injection seme ocurrio este simple metodo para php:

Citar
$stop_injection = array('<script>','<iframe>','</script>','</iframe>','<div>','</div>','<script','<i frame','<div')
str_ireplace($stop_injection,'', $texto_a_blindar)
solo me preocupa el javascript y los iframes,  el </div> es para que ningun gracioso arruine la estructura de la pagina.


y para el cross site solo seme ocurre validar la url desde donde proceden los datos, o si es una session del usuario, validar la session

conocen metodos mejores y simples de implementar?


En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: soluciones simples al injection html y al cros site script
« Respuesta #1 en: 20 Julio 2011, 06:59 am »

Código
  1. string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )
:http://php.net/manual/es/function.htmlentities.php


En línea

Te vendería mi talento por poder dormir tranquilo.
Kase


Desconectado Desconectado

Mensajes: 1.288


programa bonito ¬¬


Ver Perfil WWW
Re: soluciones simples al injection html y al cros site script
« Respuesta #2 en: 20 Julio 2011, 07:07 am »

Código
  1. string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )
:http://php.net/manual/es/function.htmlentities.php

lamentablemente necesito que mis usuarios tengan acceso a html D=
a <b> <strike> <i> <table>  e incluso a <form> 

T-T

htmlentitles me limitaba demasiado D=
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: soluciones simples al injection html y al cros site script
« Respuesta #3 en: 20 Julio 2011, 07:12 am »

Ps en esté caso si deberías de tener un array con las etiquetas que no sean permitidas, realizar una expresión regular y eliminarlos.

:http://www.ribosomatic.com/articulos/editor-de-texto-wysiwyg-para-drupal/
« Última modificación: 20 Julio 2011, 07:15 am por Shell Root » En línea

Te vendería mi talento por poder dormir tranquilo.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: soluciones simples al injection html y al cros site script
« Respuesta #4 en: 20 Julio 2011, 07:28 am »

Código
  1. <b onmouseup="alert(document.cookie)" style="width: 100%; height: 500px;">:)</b>

Para habilitar contenido HTML y evitar XSS la tienes bién negra, aun no existe NADA infalible, existen bases de datos con expresiones regl¡ulares hechas por los mejores hackers en el tema y aun asi todos los dias son actualizados (vease phpids.org y htmlpurifier).
Ejemplo: view-source:https://dev.itratos.de/projects/php-ids/repository/raw/trunk/lib/IDS/default_filter.xml

sdc hizo una mejor solución, aceptar html pero prevenir toda ejecución de javascript incluyendo la de tu sitio. En algunos casos sirve: http://code.taobao.org/svn/ACS/trunk/acs.js

Me gusta la linea 838 de ese sandbox jajajajajajaja

Lo otro que podrías hacer es filtro inverso, o sea pasar absolutamente todo a htmlspecialchars y luego a nl2br() mas str_replace() reemplazando cosas como:
Código:
&lt;b&gt; => <b>
« Última modificación: 20 Julio 2011, 07:34 am por WHK » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
PHPKIT SQL Injection Cross Site Scripting Vulnerability
Nivel Web
Don Kaka 4 4,040 Último mensaje 25 Noviembre 2004, 02:42 am
por FeRmO
html/asp/php injection
Nivel Web
krispin 4 4,099 Último mensaje 16 Febrero 2005, 08:37 am
por 4D1cTo
SCRIPT para site de juegos « 1 2 »
PHP
Ingenerio 11 4,848 Último mensaje 30 Diciembre 2006, 23:08 pm
por Hans el Topo
Html Injection « 1 2 3 »
Nivel Web
WebStar 25 19,660 Último mensaje 7 Enero 2008, 19:50 pm
por Sha0
Html/javascript Injection
Nivel Web
Dacan 2 5,320 Último mensaje 17 Marzo 2011, 13:49 pm
por Castg!
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines