Cuando los filtros no hacen lo que deberían

<?php

/* Para evitar problemas con los encodings */
header('Content-type: text/html; charset=utf-8;');

/* Mandar un error 404 si el parámetro return contiene la cadena <script, < script, etc. -> \s=espacio */
if ( preg_match('/<\s*script/', $_GET['return']) ) {
	header("HTTP/1.0 404 Not Found");
	echo 'Not found!';
	exit();
}

?>
<html>

<head>
	<title>Anti XSS Page :D</title>
</head>

<body>

<?php echo $_GET['return']; ?>

</body>

</html>

Entradas relacionadas

• XSS (Cross Site Scripting) en elpais.com
• Cuando los filtros no hacen lo que deberían - Parte 2
• Filtros genéricos y la seguridad
• PHP IDS (Intrusion Detection System)
• Novedades de WordPress 2.3
• Tips para mejorar el rendimiento de tus aplicaciones con PostgreSQL
• ¿Cómo reducir el consumo de memoria de algunos plugins de WordPress?
• Variables por referencia
• 2da Olimpiada “CD de Oro”
• A veces es bueno cerrar el navegador…

menéame añadir a del.icio.us digg it

Comentarios | Escribe el tuyo →

1. 1

   mcosta
   25 de Noviembre de 2006, 07:26:53 am

   ¿Tal vez un javascript:tal() funcione?

   En el feed se ve preg_match(’/

2. 2

   mcosta
   25 de Noviembre de 2006, 07:29:00 am

   Oops, en tu blog si funciona el filtro anti XSS. Aqui va lo mismo pero html-ok:

   En el feed se ve preg_match(’/<\s+script/’, $_GET[’return’]). Ese + canta de lejos. Que sorpresa me he llevado al ver en la pagina un *.

   PD: Para la proxima usare la vista previa.

3. 3

   alex
   25 de Noviembre de 2006, 08:30:20 am

   Je je, lo del + lo acabo de corregir.

   Por cierto, si quieres que enviar código usa los bloques [ code] [ /code] o [ php] [ /php] (sin los espacios).

4. 4

   Francesc Rosàs
   25 de Noviembre de 2006, 06:03:36 pm

   URL:

   .../?return=%3Ciframe+style%3D%22display%3A+none%22+src%3D%22http%3A%2F%2Fexample.com%2Ffoo.html%22%3E%3C%2Fiframe%3E

   http://example.com/foo.html:

   [html]<script type="text/javascript">
   alert(window.parent.document.title + ‘ is powned’);
   </script>[/code]

   Imagino que habrá alguna solución más elegante pero es la primera que se me ha ocurrido que funcione.

5. 5

   Francesc Rosàs
   25 de Noviembre de 2006, 06:05:49 pm

   Qué tal un iframe a una página con javascript? Es cutre pero funciona (habia enviado un comentario con el código de ejemplo pero tu wordpress se lo ha “comido”)

6. 6

   alex
   25 de Noviembre de 2006, 06:27:27 pm

   Francesc, muy bien, esa es una de las tantas formas de saltar ese filtro.

   Para enviar código, como dije en #3, puedes usar los bloques [ code][ /code], php, javascript, etc

7. 7

   Victor
   25 de Noviembre de 2006, 11:37:23 pm

   y ¿Cual sería la solución? ¿Validar los tags iframe igual que script?

8. 8

   Francesc Rosàs
   26 de Noviembre de 2006, 07:17:36 am

   #7, normalmente se valida sólo los tags i atributos que quieres (como hace el autor de este blog con los comentarios).

9. 9

   alex
   26 de Noviembre de 2006, 11:07:34 am

   Francesc, sobre el uso del iframe, lo que se puede hacer con esto es un poco más limitado que otros métodos, por ejm. no se puede acceder al documento que contiene al iframe si es que estos no pertenecen al mismo dominio.

10. 10

    Francesc Rosàs
    27 de Noviembre de 2006, 03:31:44 pm

    Bien visto Alex, a ver qué tal este otro:

    <SCRIPT>alert('ue')</SCRIPT>

11. 11

    alex
    27 de Noviembre de 2006, 04:03:45 pm

    Jeje, se me olvidó poner el modificador i a la expresión regular.

12. 12

    ale
    3 de Diciembre de 2007, 04:59:11 pm

    y .. pasar por urlencode, hexadecimal y blablabla…

    cualquier cosa equivalente , pero que no siga la sintaxis de anteponer la etiqueta script se la tragaría

Deja un comentario

Trackbacks / Pingbacks

• Problemas de seguridad en tus aplicaciones Web