Forum PHP.pl

Stwierdzam, że nie szkodzi, co nie zmienia faktu, że warto poprawić, chociażby dla własnej satysfakcji (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Szczerze to myślałem, że łatwiej się tego pozbyć. Możesz coś podpowiedzieć? Pobieram aktualny adres z wszystkimi zmiennymi i stąd to się bierze.

Filtruj <, > i " za pomoca str_replace() zamieniaj na puste znaki albo htmlspecialchars() ale nie zawsze to drugie sie sprawdza (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Zmieniłem, te znaki na '', ale efekt jest widoczny dalej:
http://pytak.no-ip.org/~trudny/new_moto/bo...dro...%3C/h1%3E
Z tym, że teraz nie można nic wykonać?

Sorki ale nie bylo mnie wiec nie moglem odpisac ogolnie teraz nie bede zagladal do mojego kodu ale co pamietam blad polega na tym ze tak gdzie tworzysz linki do nastepnych stron nie filtrujsze zmiennych z get'a

Wejdz tu:
http://pytak.no-ip.org/~trudny/new_moto/bo...dro...%3C/h1%3E
POtem kliknij na nastepna strone i masz taki link: http://pytak.no-ip.org/~trudny/new_moto/bo...6;/h1&str=1 widzisz link u gory zamyka znaczniki wstrzykuje html i masz to w get'cie wiec musisz filtorwac zmienne ktore podajsz do linku

Np robisz tak:

[PHP] pobierz, plaintext 
<?php
$zmienna = $_GET['zmienna'];
$zmienna = str_replace(array("<", ">", "\"", "'", "\", "%"), array("", "", "", "", "", ""), $zmienna);
?>
[PHP] pobierz, plaintext 

Teraz powinno byc good jak nie to pokaz jak generujesz linki pokarze ci jak

Ok teraz napewno nic nie bedzie

EDIT:
WIesz ze jest pelno wyszukiwarek z bugiem XSS wystarczy sobie zrobic funkcje z kodu poodanego wyzej i filtorwac wszystkie get'y z wyszukiwarki i juz bedzie bezpieczna wiem bo testowalem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował marcio 15.06.2008, 16:32:01

no ja tak nie mam bezpośrednio tych zmiennych pobieranych:

[PHP] pobierz, plaintext 
<?php
$return = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$return = urldecode($return);
$return = str_replace('<','',$return);
$return = str_replace('>','',$return);
$return = str_replace('"','',$return);
$return = str_replace('!','',$return);
?>
[PHP] pobierz, plaintext 

to tak w skróconej formie, bo funkcja jest bardziej rozbudowana (jeśli dodaję zmienną str, to ona usuwa ją z adresu)

ALe jesli dalej dziala ten "trick" to znaczy ze robisz cos zle (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) chyba ze juz nie dziala

Ten post edytował marcio 15.06.2008, 18:00:13

No dalej działa, dlatego kod pokazałem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Pokaz jak tworzysz linki do podstron a jak nie wyszukuj wszystko co sie znajduje za ? i sprawdzaj za pomoca strstr() czy sa nie dozwolone znaki jesli sa otwierasz jakas strone 404.html i tyle (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ehh durne XSS a postów że hej.... Strony numerujesz chyba liczbami? Całkowitymi? To weź zrzutuj na integer'a i już. Nie wiem nad czym tu sie rozwodzić, jakieś str_replace i podobne zabawy.



Ten post edytował LonelyKnight 15.06.2008, 20:25:53

@up jakby to bylo takie chop siup to bysmy tyle postow nie pisali (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) bo to nie koniecznie nie musi byc wina zmiennej od stronnicowania niech pokaze kod (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tyle to ja tez wiem ze jest rzutowanie typow

Większość akcji na stronach rozpoznawanych jest po ID - wtedy rzutujemy. Jak chcesz umożliwić wpisywanie np. komentarzy i zawęzić dostępne znaczniki HTML to strip_tags i drugi parametr tej funkcji. Jeśli potrzebna bardziej zaawansowana i skuteczna obrona to LINK. I tyle... nie wiem nad czym tu się rozwodzić (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował LonelyKnight 15.06.2008, 21:41:30

No, nie zgodzę się. Wchodzimy w erę NiceURL's, gdzie wszystko powinno być czytelne.

Coraz rzadziej się stosuje:

strona.pl/blog.php?id=562

na rzecz:

strona.pl/blog/moj-nowy-wpis

Fakt ale wtedy proste strip_tags wystarczy a nie jakieś zabawy w stylu:

[PHP] pobierz, plaintext 
<?php
$zmienna = $_GET['zmienna'];
$zmienna = str_replace(array("<", ">", "\"", "'", "\", "%"), array("", "", "", "", "", ""), $zmienna);
?>
[PHP] pobierz, plaintext 

Poza tym, przynajmniej ja, robię w ten sposób, że nawet jak używam rewrite, to w taki sposób aby mieć linki w takiej postaci:



...i wtedy dalej wczytuję dane sprawdzając ID a tego co jest po ID nawet nie przekazuję do aplikacji - to jest dla botów wyszukiwarek i userów.

Jak to by bylo takie latwe jak tobie sie wydaje to by bylo 60% mniej owned'ow w sieci widac ze chyba tym sie nie bawiles

Nie lubię takich pół-rozwiązań. Albo ID, albo tekst - nie ma sensu pakować dwóch rzeczy, skoro można użyć tylko jednej.

Byłoby mnie "owned'ow" gdyby ludzie piszący te strony mieli jakiekolwiek pojęcie o PHP a nie korzystali ze sklejki popularnych skryptów by xxxx i działających tylko dlatego, że 100x pytali na forum jak je połączyć.

Jak podasz mi jeden przykład XSS który przejdzie przez HTMLpurifier to odejdę ze spuszczoną głową ;-) bo argument "widać, że się tym nie bawiłeś" to średnio trafiony.

-- edit



Hymm... niby można ale np. wyszukiwanie newsów po tytule w bazie nie będzie tak wydajne jak wyszukiwanie po ID, nie mówiąc o tym, że musisz zapewnić unikalność klucza, co w przypadku tytułów może być problemem... Znowu stosowanie samego ID nie jest user friendly i Google friendly ;-)

Ten post edytował LonelyKnight 15.06.2008, 22:01:08

Nie wiem co to za narzedzie nie uzywam go ani o nim nigdy nie slyszalem wole wlasne rozwiazania to raz a dwa sa ataki XSS(html injection) gdzie mozna wstrzyknac kod css bez uzuwania <scrtipt> ani html'owych tagow takich jak < czy > nie wiem jak sie to robi ale mialem taki blad w moim cms'ie kolega mi pokazal i zalatalem ale nie pamietam jak...

Ten post edytował marcio 15.06.2008, 22:03:49

Taaa.... po co wtedy XSS...

I co z tego wynika? Był bug jak chyba w każdej realnej aplikacji ale moim zdaniem ta klasa to najskuteczniejsze obecnie narzędzie przeciw XSS. Jeśli znasz lepszą chętnie zobaczę.

Był... i może jeszcze jakiś jest...



jasne... popatrz sobie, strip_tags();" title="Zobacz w manualu PHP" target="_manual, htmlentities" title="Zobacz w manualu PHP" target="_manual