elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Seguridad contra ataques de XSS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Seguridad contra ataques de XSS  (Leído 10,193 veces)
Yaldabaot

Desconectado Desconectado

Mensajes: 186


Ver Perfil
Seguridad contra ataques de XSS
« en: 13 Agosto 2013, 23:37 pm »

Buenas, tengo una serie de dudas con respecto a protección de ataques de XSS, estoy tratando de proteger la web de la empresa en la que trabajo y me he dispuesto a utilizar una serie de pasos, con esto me han surgido dudas y bueno estas son:

1- ¿Qué tanto protegen las expresiones regulares de un ataque XSS?
2- ¿Que puedo usar aparte de las funciones de PHP como strip_tags , htmlentities, stripslashes.?


He puesto también escape_real_string para sanear las entradas, pero hago un test que viene en el mozilla firefox y tengo vubnerabilidas con ";" , "=" y " /".

No se si este es el foro adecuado, espero que lo sea, cabe destacar que estoy utilizando PHP 4 con MYSQL.

Señalo también que con respecto a ataques de inyección no estamos tan mal, me gustaría que me ayudasen; soy nuevo en esto un poco y no se de seguridad. Destaco que no usamos sesiones ni cookies, por tanto no tenemos agujeros ahí, los datos son capturados por medio del POST.

Gracias.






En línea

Nunca me contestan -_-
#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Seguridad contra ataques de XSS
« Respuesta #1 en: 14 Agosto 2013, 00:18 am »

Código
  1. <?php echo htmlentities($texto,ENT_QUOTES,'UTF-8'); ?>

Citar
He puesto también escape_real_string para sanear las entradas, pero hago un test que viene en el mozilla firefox y tengo vubnerabilidas con ";" , "=" y " /".

Eso es para consultas mysql y tampoco es de lo mejor. Para consultas es preferible que se usen sentencias preparadas.

Saludos


En línea

Yaldabaot

Desconectado Desconectado

Mensajes: 186


Ver Perfil
Re: Seguridad contra ataques de XSS
« Respuesta #2 en: 14 Agosto 2013, 00:24 am »

Buenas, gracias por responder :D, estoy usando también la clase inputfilter.php, ¿Que tal es?, con respecto a lo que me dices lo he tratado de implementar pero no se como funciona bien, ¿cuáles son las cabeceras que debo poner o cómo?, lo he hecho con C# y Vb.NET pero no entiendo como se implementa. Te agradecería mucho, y bueno alguna que otra recomendación, muchísimas gracias!.

Por cierto, mi web cuenta con expresiones regulares de javascript, ¿Qué tanto me protegen?.
« Última modificación: 14 Agosto 2013, 00:28 am por Yaldabaot » En línea

Nunca me contestan -_-
#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Seguridad contra ataques de XSS
« Respuesta #3 en: 14 Agosto 2013, 00:35 am »

Buenas, gracias por responder :D, estoy usando también la clase inputfilter.php, ¿Que tal es?

Nunca la llegue a usar.

con respecto a lo que me dices lo he tratado de implementar pero no se como funciona bien, ¿cuáles son las cabeceras que debo poner o cómo?, lo he hecho con C# y Vb.NET pero no entiendo como se implementa. Te agradecería mucho, y bueno alguna que otra recomendación, muchísimas gracias!.

Es codigo PHP. No tiene nada que ver con C# o VB.NET


Por cierto, mi web cuenta con expresiones regulares de javascript, ¿Qué tanto me protegen?.

Nada.

Saludos
En línea

Yaldabaot

Desconectado Desconectado

Mensajes: 186


Ver Perfil
Re: Seguridad contra ataques de XSS
« Respuesta #4 en: 14 Agosto 2013, 00:56 am »


Es codigo PHP. No tiene nada que ver con C# o VB.NET


Saludos

No tienen nada que ver, pero su lógica es la misma, pasar por parámetros las sentencias. Creo que la única diferencia y corrijánme si estoy mal, es que el PHP las prepara, a eso me refería... .

¿Algún consejo adicional?, he leído sobre htaccess, eso podría ayudarme un poco. Agradezco la ayuda.
En línea

Nunca me contestan -_-
GenR_18

Desconectado Desconectado

Mensajes: 115


Ver Perfil
Re: Seguridad contra ataques de XSS
« Respuesta #5 en: 14 Agosto 2013, 01:13 am »

Primero que nada actualiza la versión del PHP a la actual, igual el MySQL (si es que lo utilizas).

Hablando de funciones "mágicas" del PHP para la seguridad, cabe aclarar la diferencia de validar y sanitizar.

Para validar recomiendo filter_var() (tanto para SQLi como XSS, o cualquier entrada del usuario)

Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8).

busca también sobre strip_tags() [yo la uso para "limpiar" la entrada del usuario cuando vaya a ingresarlo a una bd], htmlspecialchars() [Es casi lo mismo que la htmlentities()].

Nunca uses expresiones regulares en javascript, si lo vas a hacer que sea en PHP, su efectividad depende de tus conocimientos sobre ataques, sólo tú puedes saber si es segura o no :P

PD: En las SQLi usa PDO  :rolleyes:

Salu2!
En línea

Yaldabaot

Desconectado Desconectado

Mensajes: 186


Ver Perfil
Re: Seguridad contra ataques de XSS
« Respuesta #6 en: 14 Agosto 2013, 01:23 am »

Hola :D, ¿Porque es inseguro utilizar expresiones regulares en javascript?.



 tags = strip_tags($tags);
 $tags = stripslashes($tags);
 $tags = htmlentities($tags,ENT_QUOTES);
 
Tenía algo así, sin el agregado que me acabas de decir "ENT_QUOTES". Tengo el campo limitado a unos 25 caracteres, y bueno le aplico lo que me dices a todas las entradas

Saludos y gracias!.
« Última modificación: 14 Agosto 2013, 01:27 am por Yaldabaot » En línea

Nunca me contestan -_-
#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Seguridad contra ataques de XSS
« Respuesta #7 en: 14 Agosto 2013, 01:41 am »

Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8).

http://nedbatchelder.com/blog/200704/xss_with_utf7.html

Citar
htmlspecialchars() [Es casi lo mismo que la htmlentities()].

Solo que htmlentities codifica todos los caracteres HTML en vez de solo los especiales.

Citar
¿Porque es inseguro utilizar expresiones regulares en javascript?.

javascript es del lado del cliente. Por tanto un atacante simplemente puede desactivarlo.

Saludos
En línea

GenR_18

Desconectado Desconectado

Mensajes: 115


Ver Perfil
Re: Seguridad contra ataques de XSS
« Respuesta #8 en: 14 Agosto 2013, 17:21 pm »


htmlentities()

Citar
encoding

    Al igual que htmlspecialchars(), htmlentities() toma un tercer argumento opcional encoding el cual define la codificación usada en la conversión. Si se omite, el valor por defecto para este argumento es ISO-8859-1 en versiones de PHP anteriores a 5.4.0, y es UTF-8 desde PHP 5.4.0 en adelante. Aunque este argumento es técnicamente opcional, es altamente recomendable especificar el valor correcto para el código.

Salu2!
En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Seguridad contra ataques de XSS
« Respuesta #9 en: 14 Agosto 2013, 17:38 pm »


cabe destacar que estoy utilizando PHP 4 con MYSQL.

Si utiliza un hosting compartido, no puede actualizar su php...

Saludos
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Protección contra ataques (DDOS)
Seguridad
Eleкtro 6 8,195 Último mensaje 13 Julio 2013, 11:43 am
por Eleкtro
Las pymes como puerta de entrada de ataques de ciberespionaje contra ...
Noticias
wolfbcn 0 1,163 Último mensaje 25 Marzo 2014, 13:42 pm
por wolfbcn
PRISA y Mediapro contratan una empresa que realiza ataques contra páginas de ...
Noticias
wolfbcn 0 1,804 Último mensaje 30 Marzo 2014, 21:48 pm
por wolfbcn
Ataques externos contra contenidos de Público
Noticias
wolfbcn 0 1,285 Último mensaje 1 Febrero 2015, 13:50 pm
por wolfbcn
Seguridad contra ataques hack contra mi instragram? consejos
Hacking
victtor77 6 7,717 Último mensaje 4 Diciembre 2023, 11:55 am
por nobie
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines