• Domingo 17 de Noviembre de 2024, 14:40

Autor Tema:  [seguridad]cómo Evitar Xss???  (Leído 2739 veces)

Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
[seguridad]cómo Evitar Xss???
« en: Viernes 5 de Enero de 2007, 13:39 »
0
Hola, buenos días y feliz año ^^

Posteo este mensaje en html porque me parece que es mas global, os expongo mis preocupaciones:

Estoy haciendo una web en la cual incluyo un formulario, despues verifico los campos con jscript y luego lo envio por php.

El problema es que he estado leyendo que es mejor validar en php y luego en jscript para evitar los ataques de xss (es decir, el codigo malicioso que se puede poner en los formularios)

El caso es que mis conocimientos de php aún no dan para verificar formularios :(
y no sé cómo podria evitar el codigo malicioso desde jscript... si me pudieseis hecha un cable os lo agradecería.

Además ha sido poco lo que he encontrado del tema, he visto páginas hacerca de como apoderarse de las cookis, pero no he visto ninguna de cómo prevenirse de los ataques.
Si alguien sabe un poco de este tema estaria genial un "informe"!!!

Bueno muchas gracias.


RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #1 en: Viernes 5 de Enero de 2007, 15:05 »
0
La malo es que al verificar en php la información es verificada desde el servidor, lo cual permite +/- enviar los datos, mientras en JavaScript este los verifica antes de enviar cualquier cosa.

Lo que puedes hacer es mediante el método que utilices ya sea POST o GET, recoger el nombre de los campos de los text de los formularios, algo así:

<!--html--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>HTML </td></tr><tr><td id='CODE'><!--html1-->arhivo.html
<input name="campoText" type="text">

en el archivo.php haces algo así:

archivo.php
$var = $_GET['campoText'];
$var = $_POST['campoText'];
if ($var == codigo malicioso o como quieras llamarle)
{
 //haga algo
}<!--html2--></td></tr></table><div class='postcolor'><!--html3-->

Ojala te sirva, si algo preguntas.

Chao
El pasado son solo recuerdos, el futuro son solo sueños

Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #2 en: Viernes 5 de Enero de 2007, 16:03 »
0
me sorprendio que recomendaran hacerlo alreves, de momento 1º verifico en js y luego recojo en php las variables y lo envia al corrreo.

la cuestion es que no se que bloquear.. vale con un indexof de < o hay algo mas?
apenas he encontrado nada acerca del tema en la web : (


Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #3 en: Viernes 5 de Enero de 2007, 16:04 »
0
me sorprendio que recomendaran hacerlo alreves, de momento 1º verifico en js y luego recojo en php las variables y lo envia al corrreo.

la cuestion es que no se que bloquear.. vale con un indexof de < o hay algo mas?
apenas he encontrado nada acerca del tema en la web : (


Mollense

  • Miembro de PLATA
  • *****
  • Mensajes: 1755
  • Nacionalidad: ar
    • Ver Perfil
    • http://solocodigo.com/
Re: [seguridad]cómo Evitar Xss???
« Respuesta #4 en: Viernes 5 de Enero de 2007, 18:38 »
0
Una pregunta...¿Dónde encontraste esas recomendaciones? y ¿Qué tipo de validaciones necesitas hacer?
"Los que renuncian son más numerosos que los que fracasan" H.F.
"No se cómo sería la III Guerra Mundial, pero la cuarta sería con piedras" A.E.
"Quién no fía no es de fiar..."


...no te quedes mirando.

Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #5 en: Viernes 5 de Enero de 2007, 23:09 »
0
puff pues no se.. he estado viendo varias paginas y no me acuerdo donde lo he visto

la cosa es que de momento compruebo que los campos esten rellenos y cosas como que el meil este correcto, pero me da cosa que puedan aprovechar el formulario para insertar xss y no se que bloquear aparte de <


ArKaNtOs

  • Miembro de PLATA
  • *****
  • Mensajes: 1253
  • Nacionalidad: mx
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #6 en: Sábado 6 de Enero de 2007, 00:59 »
0
a lo que creo que te refieres es a los famosos sql injection, lee esto ;)

http://quarkblog.org/2005/06/09/evitar-sql-injection-en-php/ y esto
http://www.forosdelweb.com/showthread.php?p=1840871

Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #7 en: Sábado 6 de Enero de 2007, 02:51 »
0
si, muchas gracias... a ver si poco a poco me voy documentando y haciendo mas seguro el formulario ^^


Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #8 en: Lunes 8 de Enero de 2007, 11:49 »
0
he encontrado una función muy interesante en php que me quita de un plumazo un montón de cosas: strip_tags(); sirve para eliminar código php y html de una cadena, lo cual si le pasas: strip_tags($_REQUEST["nombre"]); no tienes que hacer verificaciones extra en la variable nombre. además la verificación se hace en php, por lo cual es mas segura.

lo único que queda es borrar javascript: y creo que la seguridad ya sube muchos enteros ^^


ArKaNtOs

  • Miembro de PLATA
  • *****
  • Mensajes: 1253
  • Nacionalidad: mx
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #9 en: Lunes 8 de Enero de 2007, 12:57 »
0
ya leiste los comentarios sobre esta función?
http://es.php.net/strip_tags, ahi hablan de una funcion que remueve javascript tambien

Kyrylys

  • Miembro activo
  • **
  • Mensajes: 80
    • Ver Perfil
Re: [seguridad]cómo Evitar Xss???
« Respuesta #10 en: Lunes 8 de Enero de 2007, 17:43 »
0
bueno lo que hice fue con un eregui_replace que cambie javascript: por [java_script]
es un buen método también no? ; )

gracias a tod@s