« Nomenclatura dei DivX
Guida alle CSRF »

Guida su come fixare le XSS

 

Per fixare il problema delle xss dobbiamo usare una delle 2 funzioni di php.

Querste funzioni non fanno altro che ripulire il codice HTML, ovvero i tag, per non far si’ che questi vengano iniettati nel codice.

La funzione piu’ utilizzata è htmlspecialchars() che tramuta tutti i caratteri < e > in &lt; e &gt;

Un’altra opzione è htmlentities() che sostituisce tutti i caratteri nelle corrispondenti entita’.


<?
// questa pagina mostra un esempio
// delle differenze di output tra le 2 funzioni

$input = ‘<script>alert(1);</script>’;

echo htmlspecialchars($input) . ‘<br />’;
echo htmlentities($input);

?>
Un esempio di htmlentities()


<?php
$str = “A ‘quote’ is <b>bold</b>”;

echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
Il primo visualizzera’ –> A ‘quote’ is &lt;b&gt;bold&lt;/b&gt;
Il secondo –> A ‘quote’ is &lt;b&gt;bold&lt;/b&gt;

Esempio di uso di htmlspecialchars()


<?php
$new = htmlspecialchars(”<a href=’test’>Test</a>”, ENT_QUOTES);
echo $new;
?>

Questo visualizzera’ –> &lt;a href=’test’&gt;Test&lt;/a&gt;

La funzione strip_tags(), invece, elimina tutti gli elementi html, tranne alcuni elementi consentiti che bisogno specificare come ad esempio <i>, <b> o <p>.

Esempio di uso di strip_tags()


<?php
$text = ‘<p>Test paragraph.</p><!– Comment –> Other text’;
echo strip_tags($text);

echo “\n”;
// allow <p>
echo strip_tags($text, ‘<p>’);
?>
Ora che sappiamo per lo meno che esistono queste funzioni gia’ belle e pronte dobbiamo andarle ad applicare nel codice quando troviamo una xss sulla nostra web application.

Recentemente ho trovato una xss sul mio sito in una sezione dei video di GoogleBig che altro non e’ che un plugin di Mybb, vi posto una porzione di codice per rendere l’idea di come ho dovuto applicare la funzione per far si’ che nella ricerca dei video venissero filtrati i tag html.

Troviamo prima di tutto la pagina in questione: search.php

Ora andiamoci a cercare la porzione di codice che rende disponibile la ricerca, la query e l’output del risultato della query:


function search($query, $page)

{

global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;

$option = trim($option);

$query = trim($query);

$query = FixQuotes(nl2br(filter_text($query)));

$db->escape_string($query);

$db->escape_string($option);

alpha_search($query);

In questo caso la variabile che passa i valori è $query quindi andiamo ad applicare la funzione htmlentities():

$query = FixQuotes(nl2br(filter_text(htmlentities($query))));

Autore: Langy

Torna alla HomePage 

Questo post è stato pubblicato il Marzo 25, 2008 alle 11:14:27 pm ed è archiviato in Bug, Fix, Hacking, Internet, PHP, Programmazione, Sicurezza con i tag , , , , , , , , , , , . Puoi seguire i commenti a questo post con il feed RSS 2.0. Puoi lasciare una risposta, o mandare un trackback dal tuo sito.

2 Risposte to “Guida su come fixare le XSS”

  1. Revon Dice:
    Maggio 5, 2008 a 1:28:02 pm

    Nice article, good job ;)

  2. Red Skull 92 Dice:
    Maggio 8, 2008 a 9:08:37 pm

    Grazie ;)

Lascia una Risposta