Título: (Solucionado) Agregar seguridad a Guestbook Publicado por: 2Fac3R en 25 Enero 2012, 21:59 pm Hola amigos, resulta que ando en practicas con PHP + MySQL (y un poco de todo) y desde hace tiempo que me ando haciendo un guestbook. Resulta que segun yo, ya lo tenia "seguro" (sabia que no mucho, pero por lo menos sec. basica si) y aun amigo, que ha estado mas adentrado en el mundo del XSS, me ha encontrado bugs muy facilmente, y la verdad que no se como fixearlos.
Este es mi code: Código
Me ha sacado bugs, ya que al permitir la etiqueta <a> y <img> con un poco de javascript y CSS me ha logrado "XSSear" el guestbook. Lo que quiero hacer basicamente, es seguir permitiendo ciertas etiquetas, pero poder filtrar todo tipo de ataque. Alguna idea? Zalu2 Título: Re: Agregar seguridad a Guestbook Publicado por: 2Fac3R en 26 Enero 2012, 17:04 pm Vale como nadie ha respondido, supongo que no fui claro.
Lo que quiero hacer especificamente es que se filtre todo lo que entre pero se permita en etiquetas <a> y <img> asi: Código Solo esos argumentos/parametros de esas etiquetas quiero que se permitan, alguien sabe como hacerlo? Zalu2 Título: Re: Agregar seguridad a Guestbook Publicado por: dark_sargon en 26 Enero 2012, 17:22 pm Podrías usar algo como BBCode en lugar de HTML directamente.
Código: [img]src de la imagen[/img] Pienso que es más facil. http://www.desarrolloweb.com/articulos/2438.php (http://www.desarrolloweb.com/articulos/2438.php) Título: Re: Agregar seguridad a Guestbook Publicado por: 2Fac3R en 26 Enero 2012, 23:11 pm Podrías usar algo como BBCode en lugar de HTML directamente. Código: [img]src de la imagen[/img] Pienso que es más facil. http://www.desarrolloweb.com/articulos/2438.php (http://www.desarrolloweb.com/articulos/2438.php) Genial amigo, pensaba que el BBcode era instalado o algo externo. Me ha servido bastante el link :D Gracias Zalu2 |