Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][javascript] xss a htmlspecialchars
bmL
post
Post #1





Grupa: Zarejestrowani
Postów: 301
Pomógł: 25
Dołączył: 15.07.2007
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----


Witam, ostatnimi czasu znajomy powiedział mi że htmlspecialchars nie jest wystarczającym zabezpieczeniem przeciw atakom XSS. Niestety on sam nie może znaleźć źródła tekstu który o tym traktował a swoją opinię aktualnie opiera jedynie na tym że popularne frameworki korzystają z własnych systemów filtrowania, zamiast robić używając htmlspecialchars.
Tak więc moje pytanie brzmi czy istnieje możliwość wykonania ataku XSS niech to będzie dla przykładu alert('test') nie koniecznie atak ale kod js.

  1. <form method="post" action="index.php">
  2. <input type="text" name="txt" />
  3. <input type="submit" value="sprawdz" />
  4. </form>
  5.  
  6. <?php
  7. if(isset($_POST['txt'])
  8. echo htmlspecialchars($_POST['txt']);
  9. ?>
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
bmL
post
Post #2





Grupa: Zarejestrowani
Postów: 301
Pomógł: 25
Dołączył: 15.07.2007
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----


W sumie myślałem o takim sposobie ale uważałem to za mało groźne bo kto bezmyślnie pakuje takie zmienne do tagów html. Tylko nie zwróciłem uwagi że czasem do titla się wrzuca a ostatnio coraz częściej m.in dla lepszej indeksacji przez google.

Czyli miał rację i w skrócie dodatkowo trzeba escape'ować/usunąć cudzysłowy i apostrofy (IMG:style_emoticons/default/smile.gif) Poprawcie mnie jeżeli się mylę (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
bełdzio
post
Post #3





Grupa: Zarejestrowani
Postów: 690
Pomógł: 81
Dołączył: 6.04.2005
Skąd: Szczecin

Ostrzeżenie: (0%)
-----


Cytat(bmL @ 15.10.2009, 19:33:00 ) *
Czyli miał rację i w skrócie dodatkowo trzeba escape'ować/usunąć cudzysłowy i apostrofy (IMG:style_emoticons/default/smile.gif) Poprawcie mnie jeżeli się mylę (IMG:style_emoticons/default/smile.gif)

poprawiam (IMG:style_emoticons/default/smile.gif) )

  1. <p onmousemove=java script:alert(1)>dasdasd</p>


bez spacji oczywiście bbcode sam dodaje (IMG:style_emoticons/default/smile.gif)

Ten post edytował bełdzio 15.10.2009, 19:08:35
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 26.09.2025 - 14:30