[size=x-large]Guida XSS La soluzione alle xss - Come fixare una XSS[/size]
-------------------------------
Autore: Langy
Data: 19-02-2008
Copyright: www.googlebig.com
-------------------------------
Link utili:
http://www.gnucitizen.org/xssdb/application.htm (Attack Database)
http://www.xssed.com (Mirror Archive of Vulnerable Websites)
http://ha.ckers.org/xss.html (XSS Cheat sheet)
http://software.graflex.org/dexss/ (Removing JavaScript from HTML)
http://en.wikipedia.org/wiki/Cross-site_scripting
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
-------------------------------
Per fixare il problema delle xss dobbiamo usare una delle 2 funzioni di php.
Querste funzioni non fanno altro che ripulire il codice HTML, ovvero i tag, per non far si' che questi vengano iniettati nel codice.
La funzione piu' utilizzata e' htmlspecialchars() che tramuta tutti i caratteri < e > in < e >
Un'altra opzione e' htmlentities() che sostituisce tutti i caratteri nelle corrispondenti entita'.
Un esempio di htmlentities()
Il primo visualizzera' --> A 'quote' is <b>bold</b>
Il secondo --> A 'quote' is <b>bold</b>
Esempio di uso di htmlspecialchars()
Questo visualizzera' --> <a href='test'>Test</a>
La funzione strip_tags(), invece, elimina tutti gli elementi html, tranne alcuni elementi consentiti che bisogno specificare come ad esempio <i>, <b> o <p>.
Esempio di uso di strip_tags()
Ora che sappiamo per lo meno che esistono queste funzioni gia' belle e pronte dobbiamo andarle ad applicare nel codice quando troviamo una xss sulla nostra web application.
Recentemente ho trovato una xss sul mio sito in una sezione dei video di GoogleBig che altro non e' che un plugin di Mybb, vi posto una porzione di codice per rendere l'idea di come ho dovuto applicare la funzione per far si' che nella ricerca dei video venissero filtrati i tag html.
Troviamo prima di tutto la pagina in questione: search.php
Ora andiamoci a cercare la porzione di codice che rende disponibile la ricerca, la query e l'output del risultato della query:
In questo caso la variabile che passa i valori e' $query quindi andiamo ad applicare la funzione htmlentities():
Se avete problemi postate qui, oppure consultate i manuali di php su queste 3 funzioni che abbiamo visto:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
La seguente guida puo' essere utilizzata liberamente su qualsiasi sito includendo senza modifiche il copyright.
-------------------------------
Autore: Langy
Data: 19-02-2008
Copyright: www.googlebig.com
-------------------------------
Link utili:
http://www.gnucitizen.org/xssdb/application.htm (Attack Database)
http://www.xssed.com (Mirror Archive of Vulnerable Websites)
http://ha.ckers.org/xss.html (XSS Cheat sheet)
http://software.graflex.org/dexss/ (Removing JavaScript from HTML)
http://en.wikipedia.org/wiki/Cross-site_scripting
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
-------------------------------
Per fixare il problema delle xss dobbiamo usare una delle 2 funzioni di php.
Querste funzioni non fanno altro che ripulire il codice HTML, ovvero i tag, per non far si' che questi vengano iniettati nel codice.
La funzione piu' utilizzata e' htmlspecialchars() che tramuta tutti i caratteri < e > in < e >
Un'altra opzione e' htmlentities() che sostituisce tutti i caratteri nelle corrispondenti entita'.
PHP:
<?
// questa pagina mostra un esempio
// delle differenze di output tra le 2 funzioni
$input = '<script>alert(1);</script>';
echo htmlspecialchars($input) . '<br />';
echo htmlentities($input);
?>Un esempio di htmlentities()
PHP:
<?php
$str = "A 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>Il primo visualizzera' --> A 'quote' is <b>bold</b>
Il secondo --> A 'quote' is <b>bold</b>
Esempio di uso di htmlspecialchars()
PHP:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new;
?>La funzione strip_tags(), invece, elimina tutti gli elementi html, tranne alcuni elementi consentiti che bisogno specificare come ad esempio <i>, <b> o <p>.
Esempio di uso di strip_tags()
PHP:
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> Other text';
echo strip_tags($text);
echo "\n";
// allow <p>
echo strip_tags($text, '<p>');
?>Ora che sappiamo per lo meno che esistono queste funzioni gia' belle e pronte dobbiamo andarle ad applicare nel codice quando troviamo una xss sulla nostra web application.
Recentemente ho trovato una xss sul mio sito in una sezione dei video di GoogleBig che altro non e' che un plugin di Mybb, vi posto una porzione di codice per rendere l'idea di come ho dovuto applicare la funzione per far si' che nella ricerca dei video venissero filtrati i tag html.
Troviamo prima di tutto la pagina in questione: search.php
Ora andiamoci a cercare la porzione di codice che rende disponibile la ricerca, la query e l'output del risultato della query:
PHP:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
...In questo caso la variabile che passa i valori e' $query quindi andiamo ad applicare la funzione htmlentities():
PHP:
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));Se avete problemi postate qui, oppure consultate i manuali di php su queste 3 funzioni che abbiamo visto:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
La seguente guida puo' essere utilizzata liberamente su qualsiasi sito includendo senza modifiche il copyright.
