ATAKi XSS - UWAGA - połowa stron jest podatna!

[Hirek]

Apeluje do wszystkich programistów i właścicieli sklepów , stron o rozsądek. Połowa sklepów internetowych i innych stron jest podatna na ataki xss. Nawet strony Policji.b

Nawet w swoim serwisie wykryłem taką lukę. Nieszczęście w porę znalazłem, a programistę opierdzieliłem za głupotę.

Ludzie dane trzeba filtrować przed wprowadzaniem do bazy danych lub ich wyświetlaniem na ekran.

$filtr = $_POST['test'];
// $filtr = addslashes($filtr); - gdy chcemy zapisać kod do bazy
$filtr= stripslashes($filtr);
$filtr= strip_tags($filtr);
$filtr = htmlspecialchars($filtr);

Każde bezpośrednie wyświetlanie funkcji z powrotem przez zmienną $_POST na stronie jest niebezpieczne.

Np. tak <input name="test" value=”'.$_POST[‘test’].'”>

Poprawnie wygląda to tak:

<input name="test" value=”'.$filtr.'”>

Jeśli już macie gotowy kod i nie chce się wam go poprawiać to czasami można iść na łatwiznę wstawiając filtr u samej góry kodu.

foreach ($_POST AS $klucz => $wartosc)

{

	$wartosc= trim($wartosc);//usuwamy białe znaki
	  if (get_magic_quotes_gpc()) 

		  $wartosc= stripslashes($wartosc);

	$wartosc=htmlspecialchars($wartosc, ENT_QUOTES);


	$_POST[$klucz]=$wartosc;

}

Można tu wykorzystać też inne funkcje filtrujące.

Myślenie nie boli.

Co do ataków xss sposób nie podam. Ale niewiedza przytłacza.ccccc

Tak samo sprawa wygląda z $_GET tam też trzeba uważać przed dołączeniem złośliwego kodu.

[zakręcony]

To są jeszcze programiści, ktotrzy do bazy wrzucają coś bez filtrowania?

Po co w swoim zabezpieczeniu, najpierw dodajesz "/" by po chwili go zabrać? Dodaje się przed wpisaniem do bazy i zabiera by wyswietlić to na stronie.

[Bełdzio]

Z powyższym kodem są 2 problemy. 1. wyklucza możliwość "planowanego" użycia HTML, np. WYSIWYG w panelu admina 2. nie zabezpiecza przed SQLI. Zainteresowanych zabezpieczaniem stron / app internetowych zapraszam na https://beldzio.com

[Hirek]

Z powyższym kodem są 2 problemy. 1. wyklucza możliwość "planowanego" użycia HTML, np. WYSIWYG w panelu admina 2. nie zabezpiecza przed SQLI. Zainteresowanych zabezpieczaniem stron / app internetowych zapraszam na https://beldzio.com

To są ogólne porady. W panelu admina filtrować można za pomocą wyrażeń regularnych.

Co do SQLI można stosować :

wyrażenia regularne oraz fukncję wymyśloną do tego celu

np : $login = mysql_escape_string($login);

Wczoraj zdruzgotało mnie to, że wasze katalogi nie są odporne na te ataki. Właściciele otwarty mini szczególnie zapomnieli o tym problemie. Tak się zastanawiam po co dodawać wpisy skoro można całą stronę na waszych domenach dokleić

[Nowaczyk-Robert]

To są jeszcze programiści, ktotrzy do bazy wrzucają coś bez filtrowania?

świetne pytanie, sam jestem średnim programistą - ale bądź co bądź ... to podstawy podstaw :-)

[parasol]

https://www.facebook.com/dhostingpl?v=wall

osobiście nie kupuje nic w necie co jest na oscommerce.

[maminowiec]

Zawsze po kupieniu czegoś warto zorientować sie co to za skrypt , czy są jakieś ogólnodostępne luki etc.

Jeśli sie na tym nie znamy można komuś zlecić poprawę skryptu.

[OceanFire]

Co do ataków xss sposób nie podam. Ale niewiedza przytłacza.ccccc

Sam posiadam liste ( na dzień dzisiejszy coś ponad 100 000 ) adresów stron internetowych podatnych na ten atak.

Ciekawie można to wykorzystać w black seo (problem w tym że nie wiadomo jak google łapie linki wygenerowane "czasowo")

Co do sposobu to jeżeli go nie podasz jak sie inni mają zabezpieczyć ?

To tak jak byś napisał że musisz załatać dziurę w kole ale nie wiedząc gdzie ona jest.

Najprostsza formuła XSS:

<script>alert('Komunikat')</script>

Oczywiście ich jest dziesiątki.

Ciekawostka:

Do nie dawna strona NASA oraz FBI była podatna na ten błąd ;]