[Sicurezza] XSS nel box per i commenti (era: <script>alert("xss-test")....)

[penelopesito]

Ragazzi scusate ma non sapevo che cappero di titolo dare a questo post^^
si son divertiti a smanettare con il mio box commenti e son riusciti ad infilarci un allert ^_^' scusate mi spiego meglio, grazie al vostro staf sono riuscita a realizzare un sistema molto carino per i commenti nel sito,
http://www.iltelaiodipenelope.it/pub...telaio_mex.php
oggi ho trovato un paio di saluti "curiosi" ed infatti quando ho controllato erano state inserite url e mail fasulle e non so come diavolo abbiano fatto hanno inserito uno script che fa' uscire un allert quando apro la pagina per editare (correggere) i messaggi lasciati, nel box url è stato inserito questo tag:

Codice HTML:

http://<script>alert("xss-test");</script>

e appunto nella pagina x correggere mi usciva fuori questo
http://i376.photobucket.com/albums/o...img-allert.jpg
Voi mi sapete spiegare cosa è e nel caso come contrastare prove script future?
Grazie a tutti

[foreach]

Ma nelle impostazioni del box commenti hai attivato il codice HTML nei commenti? Se è attivato, disattivalo.






foreach

[miki92]

Puoi utilizzare le funzioni htmlspecialchars() o strip_tags().

Io consiglio strip_tags() in modo da eliminare completamente ogni forma di codice HTML* o PHP.

* E' possibile decidere quali tag HTML far utilizzare, quindi quali lasciare.

[penelopesito]

Grazie miki ora faccio una ricerca.... non è che sono tanto pratica con queste cose sai^^

Allora ho capito cosa è strip_tags ma, scusate la domanda che x voi sarà sicuramente scema, devo inserirlo nella pagina dove c'è il codice x l'inserimento del commento nel db o nella pagina che stampa?

[darkwolf]

Tecnicamente, spero di non dire una boiata, non fa molta differenza :)
Se lo metti nella pagina dove viene inserito verrà inserito già filtrato (e quindi così mostrato); se lo metti nella pagina che lo stampa verrà inserito interamente ma stampato in modo che sia inefficace) :)
Insomma, due modi diversi per mettersi comunque al sicuro (correggetemi se sbaglio).

[miki92]

No darkwolf non sbagli, però a mio parere per mantenere una sicurezza un po' più elevata e per ridurre anche spazio nel database (che sia MySQL o altro) è meglio inserire quella funzione nello script che memorizza i messaggi.

Questo però è un mio parere, perchè penso che avendo un codice (semmai PHP) pericoloso nel database potrebbe causare danni all'intero spazio se qualcuno trova qualche bug particolare e lo sfrutta per far agire quel codice...ma ripeto questo è ciò che penso io.

ti conviene inserirlo nella pagina di stampa, così anche quelli già registrati sranno disattivati e anche in quella di memeorizzazione dei dati

[penelopesito]

Buon giorno a tutti^^
scusami darkwolf ma non mi è molto chiaro ciò che hai scritto.... sono un'impedita e traffico da poco con il php

Controllando bene il codice mi son resa conto che lo script allert non è stato inserito nel box dove si può digitare un commento tanto più che Euro mi ha scritto un filtro che non permette l'uso di determinati tag, ma è stato scritto nel l'imput dove andrebbe scritto url sito, li c'è un controllo javascript x il controllo appunto degli url

Codice HTML:

var isUrl_reg_exp = /(http):\/\/(\w+:{0,1}\w*@)?(\S+)(:[0-9]+)?(\/|\/([\w#!:.?+=&%@!\-\/]))?/;//solo http

if (www != "") {
if (!isUrl_reg_exp.test(www))  {
            alert ("Inserire url in modo corretto.\n Assicurati di aver scritto anche http://\n o lascia il campo vuoto.");
            document.insert.www.focus();
            return false;
    }
}

e un secondo controllo viene fatto sempre dal filtro nell'insert.
Quindi non so ora il fatto di disabilitare html a quanto possa servire.......

[miki92]

Buon giorno a tutti^^
scusami darkwolf ma non mi è molto chiaro ciò che hai scritto.... sono un'impedita e traffico da poco con il php

Darkwolf voleva dire che:

• Se inserisci la funzione nello script di memorizzazione: salverai il messaggio "puro" senza codici pericolosi.
• Se inserisci la funzione nello script di visualizzazione messaggi: salverai il codice così come lo inviano ma quando andrai a visualizzare i messaggi li visualizzerai senza quei codici pericolosi nonostante essi si trovino nel database.

Non ha detto nulla di difficile

[javascripter]

Questo però è un mio parere, perchè penso che avendo un codice (semmai PHP) pericoloso nel database potrebbe causare danni all'intero spazio se qualcuno trova qualche bug particolare e lo sfrutta per far agire quel codice...ma ripeto questo è ciò che penso io.

Se si inserisce del php all'interno del messaggio, sarà del tutto innocuo.
Prova a stampare:

Codice PHP:

echo '<?php unlink("file.php"); ?>';

Non verrà mai eseguito dal server.

Buon giorno a tutti^^
scusami darkwolf ma non mi è molto chiaro ciò che hai scritto.... sono un'impedita e traffico da poco con il php

Controllando bene il codice mi son resa conto che lo script allert non è stato inserito nel box dove si può digitare un commento tanto più che Euro mi ha scritto un filtro che non permette l'uso di determinati tag, ma è stato scritto nel l'imput dove andrebbe scritto url sito, li c'è un controllo javascript x il controllo appunto degli url

Codice HTML:

var isUrl_reg_exp = /(http):\/\/(\w+:{0,1}\w*@)?(\S+)(:[0-9]+)?(\/|\/([\w#!:.?+=&%@!\-\/]))?/;//solo http

if (www != "") {
if (!isUrl_reg_exp.test(www))  {
            alert ("Inserire url in modo corretto.\n Assicurati di aver scritto anche http://\n o lascia il campo vuoto.");
            document.insert.www.focus();
            return false;
    }
}

e un secondo controllo viene fatto sempre dal filtro nell'insert.
Quindi non so ora il fatto di disabilitare html a quanto possa servire.......

Non proprio, quel comando serve solo a verificare se c'è scritto "http://" infatti basta scrivere
"http://alert("Messaggio");
che l'alert parte lo stesso

[penelopesito]

Hai ragione worldpixel, il controllo dei tag particolari viene effettuato nella pagina insert,

Codice:

*************
function isValidURI( $sURI ){ 

//l'er valido è questo: 
$er = "/^((http):\/\/|[w]{3}[0-9]{0,1}\.)([a-zA-Z0-9]([a-zA-Z0-9\-_]+\.|[a-zA-Z0-9\-_]+|)+[a-zA-Z0-9]\.[a-zA-Z]{2,6})(:[0-9]{1,5}|)(\/.{0,1024}|)$/i";  

//$er = "~^(([^:/?#]+):)?(//([^/?#]*))?([^?#]*)(\?([^#]*))?(#(.*))?~"; 

    return (bool) preg_match($er, $sURI); 
}  
**********
if (isset($HTTP_POST_VARS[www])) 
{ 
$www_id = $HTTP_POST_VARS[www];
$void_www += substr_count($www_id,"<");
$void_www += substr_count($www_id,">"); 
$void_www += substr_count($www_id,".gif"); 
$void_www += substr_count($www_id,".jpg"); 
$void_www += substr_count($www_id,".png"); 
$void_www += substr_count($www_id,".jpeg"); 
$void_www += substr_count($www_id,".bmp"); 
$void_www += substr_count($www_id,".tiff"); 
$void_www += substr_count($www_id,".tga"); 
$void_www += substr_count($www_id,".miff"); 
$void_www += substr_count($www_id,".xcf"); 
//filtro standard : 
$void_www += substr_count($www_id,"ftp"); 
$void_www += substr_count($www_id,"@"); 
$void_www += substr_count($www_id,"/*"); 
$void_www += substr_count($www_id,"./"); 
$void_www += substr_count($www_id,"../");
} 
*********

ma son riusciti lo stesso a postare i tag < e >......

PS grazie x la spiegazione miki non volevo offendere nessuno ma per me non era affatto chiaro^^

[miki92]

Figurati io ti ho solo spiegato (forse) in parole più semplici ciò che ha detto darkwolf, qui nessuna insulta nessuno

Se si inserisce del php all'interno del messaggio, sarà del tutto innocuo.
Prova a stampare:

Codice PHP:

echo '<?php unlink("file.php"); ?>';

Non verrà mai eseguito dal server.

Ma se io invio come messaggio:

Codice PHP:

'.unlink("file.php").'

// Oppure

".unlink("file.php")."


Cosa accadrebbe?

Codice PHP:

echo ''.unlink("file.php").'';


Utilizzare htmlspecialchars() o strip_tags() secondo me non fa mai male, anche se sei sicuro dei tuoi stessi script.

[javascripter]

Figurati io ti ho solo spiegato (forse) in parole più semplici ciò che ha detto darkwolf, qui nessuna insulta nessuno


Ma se io invio come messaggio:

Codice PHP:

'.unlink("file.php").'

// Oppure

".unlink("file.php")."


Cosa accadrebbe?

Codice PHP:

echo ''.unlink("file.php").'';


Niente :), dato che il server non esegue il codice php dopo l'output. Se con l'esempio di sopra intendi un injection, basta usa mysql_real_escape_string o addslashes

Utilizzare htmlspecialchars() o strip_tags() secondo me non fa mai male, anche se sei sicuro dei tuoi stessi script.

Di solito non converto mai in entità html, ma i tag li rimuovo sempre quando non servono.

[penelopesito]

Ragazzi scusate ma come faccio a rimuovere tag html quando il campo che è stato "minato" serve a scrivere un url? Sicuramente integrerò il codice con lo strip_tags() nella textarea dove vanno i commenti ma come faccio ad evitare gli script messi come url?

^_^ Miki ci mancherebbe che ci mettessimo ad insultarci.... io ho parlato di offendere, e volevo solo spiegare che purtroppo ciò che per voi è scontato x me è ancora mistero, ho capito perfettamente la tua spiegazione ma mi ero persa con quella di wolf, ma perchè sono io che ho difficoltà a comprendere e non perchè lui non sia capace a scrivere