Junio 20, 2018, 11:02:55 am

Autor Tema: ¿Qué caracteres filtrar para evitar una inyección HTML, JS, CSS?  (Leído 2926 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Solid Water

  • Yo vivo en CPH
  • ***
  • Mensajes: 1132
  • Sexo: Masculino
  • Vuelvan Hackers!
    • Ver Perfil
Hola estoy creando un sistema de comentarios para mi web.
El usuario envía los comentarios a través de un input type text.
Los comentarios son guardados en la base de datos.

El tema es que si en los comentarios ingresamos por ejemplo <div> u otra etiqueta, cuando el comentario se muestra, resulta en una inyección de código.

Yo pensé en filtrar los caracteres <>  con expresiones regulares tanto en el front como en el back end.

Por ahora me parece excelente, pero habrá algún otro caracter que debería filtrar para evitar las inyecciones en el front end? (las inyecciones back-end y mysql ya están parcheadas).

MUCHAS GRACIAS !

Queria comentar también que ahora le agregue al front-end esto:

Código: (javascript) You are not allowed to view links. Register or Login
var str = $('#1').val();

        str = str.replace(/>/g, "&gt;");
        str = str.replace(/</g, "&lt;");

$('#1').val(str);

Para que puedan mostrarse mensajes con esos caracteres, pero me sigo preguntando el tema de la inyección.

Saludos,
« Última modificación: Abril 07, 2018, 05:54:22 pm por Solid Water »

Not for the money, not for the fame. Not for the power, just no more games.

Desconectado seth

  • El mas real
  • Moderador
  • *****
  • Mensajes: 7936
  • Sexo: Masculino
    • Ver Perfil
Re:¿Qué caracteres filtrar para evitar una inyección HTML, JS, CSS?
« Respuesta #1 en: Abril 07, 2018, 10:35:50 pm »
Lo mejor es encodear, asi no rompes el texto. Todos los lenguajes tienen alguna forma de hacerlo. <> te queda como &lt;&gt; pero tambien es valido un formato similar en hexa

Los caracteres dependen del contexto. Por ejemplo, si haces <img src="$VARIABLE">, pueden modificar los atributos del tag sin usar < ni >. Pueden poner algo como asd" onerror="alert(1)" a=" y ahi tenes xss
Lo mismo aplica para las comillas simples, si las usas para los atributos

Adentro de un <script> es mas complicado

en un href, si el link empieza con javascript:, se puede ejecutar codigo, asi que ese es un caso especial que tenes que tomar en cuenta. Capaz si permitis que se manipulen links, solo deberian ser http y https



Ves links a xd-blog.com.ar que no andan? buscalos en You are not allowed to view links. Register or Login

Desconectado Solid Water

  • Yo vivo en CPH
  • ***
  • Mensajes: 1132
  • Sexo: Masculino
  • Vuelvan Hackers!
    • Ver Perfil
Re:¿Qué caracteres filtrar para evitar una inyección HTML, JS, CSS?
« Respuesta #2 en: Abril 08, 2018, 02:54:48 pm »
Buenísmo @seth, entendido.

Les dejo mi web, con su nueva versión utilizando bootstrap.

You are not allowed to view links. Register or Login

Si pueden déjenme un mensajito.

Saludos,


question
¿Qué caracteres filtrar para evitar una inyección bash?

Iniciado por Solid Water

1 Respuestas
898 Vistas
Último mensaje Agosto 20, 2017, 12:18:22 pm
por Solid Water
xx
(Solucionado) [RUBY] Como filtrar un body html?

Iniciado por ElektroStudios

1 Respuestas
1317 Vistas
Último mensaje Marzo 19, 2012, 02:59:03 am
por ElektroStudios
xx
Evitar Inyección SQL

Iniciado por Shell Root

4 Respuestas
1984 Vistas
Último mensaje Marzo 05, 2010, 12:05:43 pm
por Shell Root
xx
[TUTORIAL] HTML Inyeccion

Iniciado por piojo_tem

0 Respuestas
12926 Vistas
Último mensaje Marzo 12, 2007, 08:56:11 pm
por piojo_tem
xx
como realizar una inyeccion de HTML

Iniciado por jask2007

13 Respuestas
4233 Vistas
Último mensaje Diciembre 21, 2009, 08:12:11 pm
por JaAViEr
xx
[Tutorial] Inyección HTML - Hacerla/Evitarla

Iniciado por xT3mP

2 Respuestas
2924 Vistas
Último mensaje Abril 29, 2010, 05:53:04 pm
por xT3mP
question
Inyeccion HTML en foros nabble.com -> mini tutorial (Problema Resuelto)

Iniciado por M4inFox

0 Respuestas
847 Vistas
Último mensaje Mayo 31, 2013, 08:44:14 pm
por M4inFox
xx
Aplicación para filtrar llamadas en móvil...

Iniciado por Quirse

0 Respuestas
2971 Vistas
Último mensaje Julio 16, 2011, 08:32:03 pm
por Quirse
xx
Algun programa o algo para filtrar llamada interceptarlas

Iniciado por Cerkex

0 Respuestas
1202 Vistas
Último mensaje Agosto 24, 2012, 01:37:43 pm
por Cerkex
question
que paquetes en especifico debo de filtrar para reconocer un intruso

Iniciado por explore

5 Respuestas
1309 Vistas
Último mensaje Enero 29, 2011, 12:19:47 am
por wanm28