Guida su come fixare le XSS
Per fixare il problema delle xss dobbiamo usare una delle 2 funzioni di php.
Querste funzioni non fanno altro che ripulire il codice HTML, ovvero i tag, per non far si’ che questi vengano iniettati nel codice.
La funzione piu’ utilizzata è htmlspecialchars() che tramuta tutti i caratteri < e > in < e >
Un’altra opzione è htmlentities() che sostituisce tutti i caratteri nelle corrispondenti entita’.
<?
// questa pagina mostra un esempio
// delle differenze di output tra le 2 funzioni
$input = ‘<script>alert(1);</script>’;
echo htmlspecialchars($input) . ‘<br />’;
echo htmlentities($input);
?>
Un esempio di htmlentities()
<?php
$str = "A 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
Il primo visualizzera’ –> A ‘quote’ is <b>bold</b>
Il secondo –> A ‘quote’ is <b>bold</b>
Esempio di uso di htmlspecialchars()
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new;
?>
Questo visualizzera’ –> <a href=’test’>Test</a>
La funzione strip_tags(), invece, elimina tutti gli elementi html, tranne alcuni elementi consentiti che bisogno specificare come ad esempio <i>, <b> o <p>.
Esempio di uso di strip_tags()
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> Other text';
echo strip_tags($text);
echo “\n”;
// allow <p>
echo strip_tags($text, ‘<p>’);
?>
Ora che sappiamo per lo meno che esistono queste funzioni gia’ belle e pronte dobbiamo andarle ad applicare nel codice quando troviamo una xss sulla nostra web application.
Recentemente ho trovato una xss sul mio sito in una sezione dei video di GoogleBig che altro non e’ che un plugin di Mybb, vi posto una porzione di codice per rendere l’idea di come ho dovuto applicare la funzione per far si’ che nella ricerca dei video venissero filtrati i tag html.
Troviamo prima di tutto la pagina in questione: search.php
Ora andiamoci a cercare la porzione di codice che rende disponibile la ricerca, la query e l’output del risultato della query:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
…
In questo caso la variabile che passa i valori è $query quindi andiamo ad applicare la funzione htmlentities():
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
Autore: Langy
5 Maggio 2008 a 13:28
Nice article, good job
8 Maggio 2008 a 21:08
Grazie
24 Ottobre 2009 a 13:40
Ottimo post davvero interessante e molto pulito…
red ma posso applicare queste stringhe anche creandomi un file php…
e fare l include o devo applicarle perforza hai campi di ricerca get post e cosi via….
esempio:
<?php
$input = str_replace(”‘”, “”, $_GET['query']); #cancella il carattere ‘ dalla variabile
$input = str_replace(’”‘, “”, $input); #cancella il carattere ” dalla variabile
$input = htmlentities($input); #sostituisce i caratteri
?>
cosi dovrei pulire il tutto mi sembra giusto…
ma in un campo di ricerca o get o post… dove dovrei inserire tali stringhe…
24 Ottobre 2009 a 15:32
si, è meglio applicare htmlentities ai campi di ricerca…
25 Ottobre 2009 a 18:17
Scusa red….. se ti posto un codice saresti in grado di proteggermelo…
e del codice con dei campi di ricerca dovrei proteggerlo con un htmlentities senza ricorrere a dei sentinel che pare non proteggano abbastanza bene anzi……. se ce la fai fammi sapere…..
25 Ottobre 2009 a 18:49
no dal semplice fatto che dovresti saperlo fare tu…
hai letto la guida, applica quello che hai letto, non hai ancora capito ?
cerca altre guide, effettue delle prove.
Se te lo faccio io tu non impari niente.