Protejete de Xss y mas....

Dédalo · 24-Mar-2009, 12:52

mm Bueno la primera tecnica que usaremos ahora seran los strip tags que los puedes usar por ejemplo para cuando quieres hacer un libro de visitas y te quieres cuidar de que los Black Hat te ataquen pues haces lo siguente:

Código PHP:


			
<?php

$variable = strip_tags($_REQUEST['Texto']);

echo $variable;

?>

mm bueno ahi ya se estan protejiendo por que sin el strip_tags hubiesen querido poner un digamos redireccionamiento digamos

Código PHP:


			
<meta http-equiv="Refresh" content="5";url=http://www.tedefacie.com">

pero ahora con los strip tags ya no =)

mm ahora otra manera digamos evitando un Xss

vamos a usar algo llamado Htmlentities que lo que hacen es transformar los caracteres como < o > en html

si xD los transforman, digamos uno de los basicos:

Cita:

lo transforman a

Cita:

entonces no se ejecutaria =)

ahora un codigo aplicando esto =)

Código PHP:


			
<?php

$Tuvariable = htmlentities($_REQUEST['texto']);

echo $Tuvariable;

?>

mm bueno en texto iria lo que conoceriamos como el comentario si fuese un libro de visitas =)

mm bueno esta son solo dos maneras y digamos que son las mas simples pero son eficientes mientras que el Black Hat sea normal por que si es super bueno hace lo que sea pero te Defacea =( xD

mmmm bueno cualquier consulta pues haganla =)

Saludos
Dedalo (Dédalo)

talcual · 15-Apr-2009, 12:50

para agregar quita o remplazar todo lo que sea "/$¿?=)(/&%$·"! para no tener problemas con la estabilidad de la base de datos recomendacion saludos

Pratt · 15-Apr-2009, 17:43

Saludos!
Esa solucion es muy buena. Pero tiene una desventaja al combinarla con una base de datos.

La desventaja es el espacio. Digamos, <script> queda <script>.
<script> tiene 8 caracteres y <script> tiene 14, casi el doble!
Y a eso le tenemos que sumar los characteres que tengan tildes que tambien van a ser convertidos.

Yo prefiero tratar de dejar los datos lo mas cercano a como los envio el usuario. Logicamente, antes de meter cosas a la base de datos, hay que hacer otros filtros de seguridad, como darle addslashes o mysql_real_escape_string (para evitar la injection) o borrar las ", ' o <>, verificar el tipo (que si quiero un numero, verificar que sea un numero lo que me estan dando) y si no quiero nada de html tambien clavar un "strip_tags()" por pura diversion.

Y a la hora de mostrar los datos, aplicar el strip_slashes (para quitar el efecto de addslashes) y htmlentities.

Tipo

Código PHP:


			
<?php

// Agarro datos de la base de datos y muestro

$row = mysql_fetch_assoc($result);

echo htmlentities(strip_slashes($row['datos']));



// O Mejor dicho

$variable = $_REQUEST['blah'];

echo htmlentities($_REQUEST['blah']);

?>

Chaolander!

Dédalo · 17-Apr-2009, 10:47

tienen ambos toda la razon del mundo es que cuando hice este tuto lo hice en base a cosas como libro de visitas y esas cosas o buscadores minimos pero si tienen razon pero no te buguea todas las bases de datso ya que uso este tipo de codes para las mias hechas en SQL y no ha pasado nada :P pero gracias igual por ayudar con la aclaracion

Saludos
Dedalo(Dédalo)

NachXs · 01-Feb-2010, 08:53

Veo que estos temas solo se aplican a PHP, alguno que quiera dar soluciones para JSP?

Saludos.

Shell Root · 02-Feb-2010, 22:04

Muy bueno Dédalo, aunque al momento de usar la función htmlentities se debe de verificar los parametros para tener una seguridad mayor. Por ejemplo si tenemos!

Código PHP:


			
<?php

   $str = htmlentities($_GET['web']);

   echo "<a href=\'".$str."\'>Click</a>";

?>

Al no haber ningún parametro, no convertiremos las comillas simples y nos basta con poner:

Código PHP:


			
?web=a' onmouseover=alert(/XSS/) trash='

Tener cuidado con las definiciones del perametro $quote_style

Saludos!