elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Nivel Web / HtmlEntities SobrePasar en: 22 Noviembre 2009, 20:54 pm
Hola amigos de elhacker.net! Tengo 1 preguntita de seguridad que se me vinieron a la mente.


Estaba viendo el post de sobrepasar htmlentities, y me vino la duda de un par de cosas.

http://foro.elhacker.net/printpage.html;topic=251657.0



header('Content-Type: text/html; charset=UTF-7'); 
$texto = htmlentities($texto,ENT_QUOTES);     
$texto = "+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-";
echo $texto;


Si uno hace interpretar este script, devuelve un alert diciendo XSS.

Entonces pienso bueno en vez de UTF-7, pongo UTF-8 y listo. Solucionado!.

Pero agarre el programa Achilles ( Man in The middle) y lo que hize fue interceptar cuando estaba recibiendo el header que tenia el UTF-8 ( como content type) Se lo cambio a UTF-7, y ahi saltaba el XSS.

Ahora mi pregunta es como evito que me cambien la codificacion con un man in the iddle. Porque si ese mensaje se guarda en una base de datos despues cuando le de un echo a ese mensaje me va tirar el alert.

Hay alguna funcion en php que me diga la codificacion que se este usando en la web?
Cosa que si detecto que alguien modifico el UTF-7, le meto un die; ahi no mas.



Desde ya muchas gracias a todos :).
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines