Xss beveiliging testen voor Banditi

    Hoe kan je nu iets beveiligen tegen iets als je niet weet hoe het onveilig was?

    Don\'t like me?
    Have a seat with the rest of the bitches waiting for me to give a fuck.

    Omdat ik nergens een xss beveiliging in de scripts ben tegengekomen. Ik heb nu in de config.php

    PHP
    define('PHP_FIREWALL_REQUEST_URI', strip_tags( $_SERVER['REQUEST_URI'] ) );
define('PHP_FIREWALL_ACTIVATION', true );
if ( is_file( @dirname(__FILE__).'/includes/include_security.php' ) )
    include_once( @dirname(__FILE__).'/includes/include_security.php' );

    en in de include_security.php staat

    http://pastebin.com/xeeujjxT

    maar of het nu werkt weet ik dus niet. En aangezien ik al verschillende topics langs heb zien komen met mensen die xss problemen aantoonde hoopte ik dat hier een directe link voor mogelijk zou zijn om te testen

    (ps

    PHP
    include_once( @dirname(__FILE__).'/includes/include_security.php' );

    staat in ROOT/MAP/includes/include_security.php ik weet niet wat @dirname(__FILE__) etc. inhoud maar ik dacht dat dit goed zou zijn.

    Dit soort troep moet je helemaal niet gebruiken om te beveiligen. Je data die je binnen krijgt wordt aan alle kanten bewerkt, terwijl het misschien helemaal niet nodig is.

    En misschien helpt het wel tegen XSS (waarschijnlijk wel), maar je hebt er niks aan. Dit is echt de meest slechte manier van beveiligen.

    Ja, alle input moet je afzonderlijk beveiligen. Als je een privé bericht binnen krijgt (ik noem maar iets), zorg je dat deze veilig is voor XSS. Als je een ID binnen krijgt zorg je ervoor dat het wel een integer is...

    En ga zo maar door.

    PHP
    mysql_real_escape_string($_POST['naam']) // Dit is voor teksten.


(int)intval($_POST['getal']) // Deze laat alleen getallen toe!

    Hosting Network Services. Special Firewalled hosting for crime games.
    ******
    Msn:** Stuur maar PM.

    Oke bedankt. Ik heb nu in enkele script alles geplaatst. als ik nu dit in (bv. kladblok) plaats

    PHP
    <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59">

    krijg ik in het kladblok dit te zien

    PHP
    <img src=\\\"javascript:alert('XSS');\\\">

    (geen popup maar alleen de tekst zelf)

    Betekend dit dat mijn script nu goed is beveiligd?

    probeer het eens op deze manier:

    PHP
    <script>alert('Xss lek gevonden?')</script>

    Werkt dit niet is hij beveiligd, krijg je een javascript melding met de tekst "Xss lek gevonden?" is hij niet veilig.

    Hoe moeilijk kan dit zijn, zelfs Google had je dit kunnen vertellen ^o)

    Superior; als ik dat invoer krijg ik dit als output

    <script>alert(\\\'Xss lek gevonden?\\\')</script>

    (geen popup oid alleen de tekst in de db)

    En op google heb ik hier ook veel over gezocht. Maar aangezien ik niet bekend ben met xss weet ik dus niet zeker of de beveiliging die ik erin zet ook daadwerkelijk goed is

    Citaat van gamecontrol

    Oke bedankt. Ik heb nu in enkele script alles geplaatst. als ik nu dit in (bv. kladblok) plaats

    PHP
    <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59">

    krijg ik in het kladblok dit te zien

    PHP
    <img src=\\\"javascript:alert('XSS');\\\">

    (geen popup maar alleen de tekst zelf)

    Betekend dit dat mijn script nu goed is beveiligd?


    Het zou handig zijn als die post begrijpelijk zou zijn.
    "als ik nu dit in (bv. kladblok) plaats ... krijg ik in het kladblok dit te zien" is namelijk heel duidelijk.

    PS. ik houd het trouwens niet voor onmogelijk dat de briljante coding van CP er voor zorgt dat je post zo *kuch* verbeterd *verbeterd* is...

    miauw!

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login