Seguridad contra ataques de XSS

Foro de elhacker.net

Seguridad Informática

Seguridad (Moderador: r32)

Seguridad contra ataques de XSS

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2

Autor

Tema: Seguridad contra ataques de XSS (Leído 10,086 veces)

Yaldabaot

Desconectado

Mensajes: 186

Seguridad contra ataques de XSS

« en: 13 Agosto 2013, 23:37 pm »

Buenas, tengo una serie de dudas con respecto a protección de ataques de XSS, estoy tratando de proteger la web de la empresa en la que trabajo y me he dispuesto a utilizar una serie de pasos, con esto me han surgido dudas y bueno estas son:

1- ¿Qué tanto protegen las expresiones regulares de un ataque XSS?
2- ¿Que puedo usar aparte de las funciones de PHP como strip_tags , htmlentities, stripslashes.?

He puesto también escape_real_string para sanear las entradas, pero hago un test que viene en el mozilla firefox y tengo vubnerabilidas con ";" , "=" y " /".

No se si este es el foro adecuado, espero que lo sea, cabe destacar que estoy utilizando PHP 4 con MYSQL.

Señalo también que con respecto a ataques de inyección no estamos tan mal, me gustaría que me ayudasen; soy nuevo en esto un poco y no se de seguridad. Destaco que no usamos sesiones ni cookies, por tanto no tenemos agujeros ahí, los datos son capturados por medio del POST.

Gracias.


	En línea

Nunca me contestan -_-

#!drvy

Desconectado

Mensajes: 5.855

Re: Seguridad contra ataques de XSS

« Respuesta #1 en: 14 Agosto 2013, 00:18 am »

Código

<?php echo htmlentities($texto,ENT_QUOTES,'UTF-8'); ?>

Citar

He puesto también escape_real_string para sanear las entradas, pero hago un test que viene en el mozilla firefox y tengo vubnerabilidas con ";" , "=" y " /".

Eso es para consultas mysql y tampoco es de lo mejor. Para consultas es preferible que se usen sentencias preparadas.

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

Yaldabaot

Desconectado

Mensajes: 186

Re: Seguridad contra ataques de XSS

« Respuesta #2 en: 14 Agosto 2013, 00:24 am »

Buenas, gracias por responder

, estoy usando también la clase inputfilter.php, ¿Que tal es?, con respecto a lo que me dices lo he tratado de implementar pero no se como funciona bien, ¿cuáles son las cabeceras que debo poner o cómo?, lo he hecho con C# y Vb.NET pero no entiendo como se implementa. Te agradecería mucho, y bueno alguna que otra recomendación, muchísimas gracias!.

Por cierto, mi web cuenta con expresiones regulares de javascript, ¿Qué tanto me protegen?.


« Última modificación: 14 Agosto 2013, 00:28 am por Yaldabaot »	En línea

Nunca me contestan -_-

#!drvy

Desconectado

Mensajes: 5.855

Re: Seguridad contra ataques de XSS

« Respuesta #3 en: 14 Agosto 2013, 00:35 am »

Cita de: Yaldabaot en 14 Agosto 2013, 00:24 am

Buenas, gracias por responder

, estoy usando también la clase inputfilter.php, ¿Que tal es?

Nunca la llegue a usar.

Cita de: Yaldabaot en 14 Agosto 2013, 00:24 am

con respecto a lo que me dices lo he tratado de implementar pero no se como funciona bien, ¿cuáles son las cabeceras que debo poner o cómo?, lo he hecho con C# y Vb.NET pero no entiendo como se implementa. Te agradecería mucho, y bueno alguna que otra recomendación, muchísimas gracias!.

Es codigo PHP. No tiene nada que ver con C# o VB.NET

Cita de: Yaldabaot en 14 Agosto 2013, 00:24 am

Por cierto, mi web cuenta con expresiones regulares de javascript, ¿Qué tanto me protegen?.

Nada.

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

Yaldabaot

Desconectado

Mensajes: 186

Re: Seguridad contra ataques de XSS

« Respuesta #4 en: 14 Agosto 2013, 00:56 am »

Cita de: drvy en 14 Agosto 2013, 00:35 am

Es codigo PHP. No tiene nada que ver con C# o VB.NET

Saludos

No tienen nada que ver, pero su lógica es la misma, pasar por parámetros las sentencias. Creo que la única diferencia y corrijánme si estoy mal, es que el PHP las prepara, a eso me refería... .

¿Algún consejo adicional?, he leído sobre htaccess, eso podría ayudarme un poco. Agradezco la ayuda.


	En línea

Nunca me contestan -_-

GenR_18

Desconectado

Mensajes: 115

Re: Seguridad contra ataques de XSS

« Respuesta #5 en: 14 Agosto 2013, 01:13 am »

Primero que nada actualiza la versión del PHP a la actual, igual el MySQL (si es que lo utilizas).

Hablando de funciones "mágicas" del PHP para la seguridad, cabe aclarar la diferencia de validar y sanitizar.

Para validar recomiendo filter_var() (tanto para SQLi como XSS, o cualquier entrada del usuario)

Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8).

busca también sobre strip_tags() [yo la uso para "limpiar" la entrada del usuario cuando vaya a ingresarlo a una bd], htmlspecialchars() [Es casi lo mismo que la htmlentities()].

Nunca uses expresiones regulares en javascript, si lo vas a hacer que sea en PHP, su efectividad depende de tus conocimientos sobre ataques, sólo tú puedes saber si es segura o no

PD: En las SQLi usa PDO :rolleyes:

Salu2!


	En línea

Yaldabaot

Desconectado

Mensajes: 186

Re: Seguridad contra ataques de XSS

« Respuesta #6 en: 14 Agosto 2013, 01:23 am »

Hola

, ¿Porque es inseguro utilizar expresiones regulares en javascript?.

tags = strip_tags($tags);
$tags = stripslashes($tags);
$tags = htmlentities($tags,ENT_QUOTES);

Tenía algo así, sin el agregado que me acabas de decir "ENT_QUOTES". Tengo el campo limitado a unos 25 caracteres, y bueno le aplico lo que me dices a todas las entradas

Saludos y gracias!.


« Última modificación: 14 Agosto 2013, 01:27 am por Yaldabaot »	En línea

Nunca me contestan -_-

#!drvy

Desconectado

Mensajes: 5.855

Re: Seguridad contra ataques de XSS

« Respuesta #7 en: 14 Agosto 2013, 01:41 am »

Cita de: GenR_18 en 14 Agosto 2013, 01:13 am

Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8).

http://nedbatchelder.com/blog/200704/xss_with_utf7.html

Citar

htmlspecialchars() [Es casi lo mismo que la htmlentities()].

Solo que htmlentities codifica todos los caracteres HTML en vez de solo los especiales.

Citar

¿Porque es inseguro utilizar expresiones regulares en javascript?.

javascript es del lado del cliente. Por tanto un atacante simplemente puede desactivarlo.

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

GenR_18

Desconectado

Mensajes: 115

Re: Seguridad contra ataques de XSS

« Respuesta #8 en: 14 Agosto 2013, 17:21 pm »

Cita de: drvy en 14 Agosto 2013, 01:41 am

http://nedbatchelder.com/blog/200704/xss_with_utf7.html

htmlentities()

Citar

encoding

Al igual que htmlspecialchars(), htmlentities() toma un tercer argumento opcional encoding el cual define la codificación usada en la conversión. Si se omite, el valor por defecto para este argumento es ISO-8859-1 en versiones de PHP anteriores a 5.4.0, y es UTF-8 desde PHP 5.4.0 en adelante. Aunque este argumento es técnicamente opcional, es altamente recomendable especificar el valor correcto para el código.

Salu2!


	En línea

#!drvy

Desconectado

Mensajes: 5.855

Re: Seguridad contra ataques de XSS

« Respuesta #9 en: 14 Agosto 2013, 17:38 pm »

Cita de: GenR_18 en 14 Agosto 2013, 17:21 pm

htmlentities()

Salu2!

Cita de: Yaldabaot en 13 Agosto 2013, 23:37 pm

cabe destacar que estoy utilizando PHP 4 con MYSQL.

Si utiliza un hosting compartido, no puede actualizar su php...

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

Páginas: [1] 2

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Protección contra ataques (DDOS) Seguridad	Eleкtro	6	8,141	13 Julio 2013, 11:43 am por Eleкtro
	Las pymes como puerta de entrada de ataques de ciberespionaje contra ... Noticias	wolfbcn	0	1,151	25 Marzo 2014, 13:42 pm por wolfbcn
	PRISA y Mediapro contratan una empresa que realiza ataques contra páginas de ... Noticias	wolfbcn	0	1,767	30 Marzo 2014, 21:48 pm por wolfbcn
	Ataques externos contra contenidos de Público Noticias	wolfbcn	0	1,275	1 Febrero 2015, 13:50 pm por wolfbcn
	Seguridad contra ataques hack contra mi instragram? consejos Hacking	victtor77	6	7,326	4 Diciembre 2023, 11:55 am por nobie