Forum Ubuntu-it

Il forum della comunità italiana di Ubuntu.
https://forum.ubuntu-it.org/

XSS

https://forum.ubuntu-it.org/viewtopic.php?f=33&t=222632

Pagina 1 di 1

XSS

Inviato: martedì 7 ottobre 2008, 16:22
da kelev
Ecco il codice HTML:

Codice: Seleziona tutto

<html>
<body>
  <form action='postxss.php' method='GET'>
    <input type='text' name='nick'>
    <input type='submit' value='submit'>
  </form>
</body>
</html>

Ecco quello in php:

Codice: Seleziona tutto

<?php
  $nick = $_GET['nick'];
  echo $nick;
?>
Come mai se modifico il link così:

Codice: Seleziona tutto

http://localhost/php/xss/postxss.php?nick=<script>alert('ciao mondo')</script>
Non mi appare l'alert?Eppure dovrebbe essere un XSS

Re: XSS

Inviato: martedì 7 ottobre 2008, 20:13
da daemon_nio
XSS? Boh non capisco perché dovrebbe essere un xss, comunque non funziona perché quando recuperi la stringa contenuta nell'oggetto GET essa è sporcata dai caratteri di escape.
Devi utilizzare la funzione str_replace per ripulirla.

Codice: Seleziona tutto

<html>
  <head>
    <?php
      $nick = $_GET['nick'];
      $str = str_replace("\\","",$nick);
      echo $str;
    ?>
  </head>

  <body>
    <form method="GET">
      <input type="text" name="nick">
      <input type="submit" value="submit">
    </form>
  </body>
</html>
Quando hai questi dubbi ti do un consiglio, guarda sempre il codice HTML generato dal codice PHP, e poi trai le tue conclusioni ;)

Inoltre ti consiglio di mettere sempre il javascript nella head di una pagina e di usare i doppi apici per indicare il valore di un attributo all'interno di un tag HTML.

P.S. ah... ora capisco perché è un XSS :P chissà perché mi sono confuso con XSL.

P.P.S. comunque non ti preoccupare, un sito internet non ti permetterà mai di fare una cosa del genere :P

Re: XSS

Inviato: martedì 7 ottobre 2008, 20:32
da kelev
Si lo so era solo per vedere come "funzionavano" queste xss..

Re: XSS

Inviato: mercoledì 8 ottobre 2008, 9:50
da garak
Non ti funziona perché hai magic_quotes_gpc abilitato, quindi gli apici vengono "escapati". Prova a disattivare quella direttiva nel php.ini e vedrai che funziona.
Tra l'altro sarebbe buona cosa tenerla disattivata (credo che nella prossima versione di php non ci sarà più) ed occuparsi da soli di filtrare l'input ed "escapare" l'output.

Re: XSS

Inviato: mercoledì 8 ottobre 2008, 15:42
da kelev
Si ma l'ho provato anche nel mio sito altervista..e non funziona..

Re: XSS

Inviato: mercoledì 8 ottobre 2008, 17:14
da Zoff
xajx ha scritto: Si ma l'ho provato anche nel mio sito altervista..e non funziona..
Beh sei sicuro che su altervista magic_quotes_gpc sia disabilitato???
Tutti gli orari sono UTC+02:00 Europa/Roma
Pagina 1 di 1

Basato su phpBB® Forum Software © phpBB Limited • PostgreSQL© • Megmoticons©