Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

XSS prevention (Opgelost)

Martijn2008 - 05/01/2010 21:02 (laatste wijziging 05/01/2010 21:02)
PHP beginner		Hallo allemaal, Ik wil graag voorkomen dat er javascript d.m.v. UBB in mijn website terecht komt. In een link kan dit op verschillende manieren. 2 voorbeelden zijn - <a href="javascipt:alert('hoi')">link</a> - <a href="<script>alert('hoi');</script>">link</a> Hoe voorkom ik dit? Martijn

12 antwoorden

Gesponsorde links

vinTage - 05/01/2010 21:09
Nieuw lid		Een manier zou een regex kunnen zijn die controleert of je wel een valid url post.

Martijn2008 - 05/01/2010 21:17
PHP beginner		Bestaat er niet een mogelijkheid om te filtreren op javascript en de script-tags. Volgens mij is dat in mijn project gemakkelijker te implementeren. Ik kwam dit probleem tegen toen ik op phpFreakz de hacking guide doornam(eerder genoemd in deze topic). In deze tutorial wordt ook een voorstel gedaan voor een functie, die dit probleem zou oplossen. Alleen werkt deze functie bij mij niet.

vinTage - 05/01/2010 21:18 (laatste wijziging 05/01/2010 21:19)
Nieuw lid		en als iemand dan een url wil posten naar javascript.com ? en hoe ziet die functie eruit, ik heb geen zin om heel die pdf door te bladeren op zoek ernaar.

Martijn2008 - 05/01/2010 21:24

PHP beginner

php code - Bekijk de code zonder highlighting - Klap code in


<?php

	/* noXSS (a)
	* String a: Input that you want to print in a
	*
	* Description
	* Use this function if you want to print user input as an argument in a HTML
	* tag. Don't allow XSS JS attacks in your webapplication and use this function
	* instead of using htmlspecialchars(), which doesn't protect you against the
	* javascript: protocol.
	*
	* Return
	* It will return false if
	* the beginning of the input string contains 'javascript:', otherwise it will
	* return
	*
	* Examples
	* <?php
	* print '<a href="'.$_GET['input'].'>link</a>';
	* ?>
	*
	* input: 'javascript:alert()' output: bool false
	* input: 'JAVAscript:alert()' output: bool false
	* input: ' javascript:alert()' output: bool false
	* input: '&#32;javascript:alert()' output: bool false
	* input: 'javas&#99;ript:alert()' output: bool false
	* input: '&#32;Javas&#99;ript:alert()' output: bool false
	* input: 'test <a href="#">' output: test &lt;a href=&quot;#&quot;&gt;yo
	* input: '"><script>alert()</script><"' output: &quot;&gt;&lt;script&gt;alert()
	&lt;/script&gt;&lt;&quot;
	* input: "'><script>alert()</script><'" output: &#039;&gt;&lt;script&gt;alert()
	&lt;/script&gt;&lt;&#039;
	*/
	function noXSS ($input)
	{
		// convert all input charakters to lowercase and convert ascii encoded charakters to normal charakters
		$inputTmp = trim(asciiDecode(strtolower($input)));
		
		// check if the user wants to execute javascript
		
		if (substr($inputTmp, 0, 11) == 'javascript:') 
		{
			trigger_error("Someone tried to exploit our UBB system! Original input: '$input'", E_USER_WARNING);
			return false;
		}
		// replace: <, >, &, ", ' to ascii encoded values
		return htmlspecialchars($input, ENT_QUOTES);
	}
	
	/* asciiDecode (a)
	* String a: Text string
	*
	* Description
	* All ASCII codes will be decoded in their represented value.
	*/
	
	function asciiDecode($input)
	{
		// get all ASCII encoded values
		preg_match_all("(&#([0-9]{1,3});)", $input, $matches);
		$asciiCodes = array_unique($matches[1]);
		// replace them with their representing value
		foreach ($asciiCodes as $asciiNr)
		$input = str_replace("&#$asciiNr;", chr($asciiNr), $input);
		return $input;
	}

?>

<?php
 
	/* noXSS (a)
	* String a: Input that you want to print in a
	*
	* Description
	* Use this function if you want to print user input as an argument in a HTML
	* tag. Don't allow XSS JS attacks in your webapplication and use this function
	* instead of using htmlspecialchars(), which doesn't protect you against the
	* javascript: protocol.
	*
	* Return
	* It will return false if
	* the beginning of the input string contains 'javascript:', otherwise it will
	* return
	*
	* Examples
	* <?php
	* print '<a href="'.$_GET['input'].'>link</a>';
	* ?>
	*
	* input: 'javascript:alert()' output: bool false
	* input: 'JAVAscript:alert()' output: bool false
	* input: ' javascript:alert()' output: bool false
	* input: '&#32;javascript:alert()' output: bool false
	* input: 'javas&#99;ript:alert()' output: bool false
	* input: '&#32;Javas&#99;ript:alert()' output: bool false
	* input: 'test <a href="#">' output: test &lt;a href=&quot;#&quot;&gt;yo
	* input: '"><script>alert()</script><"' output: &quot;&gt;&lt;script&gt;alert()
	&lt;/script&gt;&lt;&quot;
	* input: "'><script>alert()</script><'" output: &#039;&gt;&lt;script&gt;alert()
	&lt;/script&gt;&lt;&#039;
	*/
	function noXSS ($input)
	{
		// convert all input charakters to lowercase and convert ascii encoded charakters to normal charakters
		$inputTmp = trim(asciiDecode(strtolower($input)));
 
		// check if the user wants to execute javascript
 
		if (substr($inputTmp, 0, 11) == 'javascript:') 
		{
			trigger_error("Someone tried to exploit our UBB system! Original input: '$input'", E_USER_WARNING);
			return false;
		}
		// replace: <, >, &, ", ' to ascii encoded values
		return htmlspecialchars($input, ENT_QUOTES);
	}
 
	/* asciiDecode (a)
	* String a: Text string
	*
	* Description
	* All ASCII codes will be decoded in their represented value.
	*/
 
	function asciiDecode($input)
	{
		// get all ASCII encoded values
		preg_match_all("(&#([0-9]{1,3});)", $input, $matches);
		$asciiCodes = array_unique($matches[1]);
		// replace them with their representing value
		foreach ($asciiCodes as $asciiNr)
		$input = str_replace("&#$asciiNr;", chr($asciiNr), $input);
		return $input;
	}
 
?>

vinTage - 05/01/2010 21:40 (laatste wijziging 05/01/2010 21:41)

Nieuw lid

werkt toch ?

php code - Bekijk de code zonder highlighting - Klap code in

$linkjes = array("javascript:alert('abc')", "bla.com");

foreach($linkjes as $link)
{
	if(noXSS($link))
	{
		echo $link.' = goed<br />';
	}
	else
	{
		echo $link.' = kl*te<br />';
	}
}

$linkjes = array("javascript:alert('abc')", "bla.com");
 
foreach($linkjes as $link)
{
	if(noXSS($link))
	{
		echo $link.' = goed<br />';
	}
	else
	{
		echo $link.' = kl*te<br />';
	}
}

en je ziet met dit arraytje ook die error die die functie genereert.

Martijn2008 - 05/01/2010 23:19 (laatste wijziging 05/01/2010 23:20)

PHP beginner

ThnX, weet je misschien ook hoe ik het op de juiste manier in deze functie verwerk? Of kan het misschien toch gemakkelijker met een regex?

php code - Bekijk de code zonder highlighting - Klap code in


<?php

	function ubb($Input)
	{
		$Subject = stripslashes($Input);
	        
	    //patern => replacement
	    $Elements = array(
			'/\[url\](.*?)\[\/url\]/is' => '<a href="$1">$2</a>',
		        '/\[url=(.*?)\[\/url\]/is' => '<a href="$1">$2</a>',
				'/\[img\](.*?)\[\/img\]/is' => '<img src="$1" />'       
	    );
	    
	    $Subject = preg_replace(array_keys($Elements), $Elements, $Subject);
	        
	    return $Subject;        
	}

?>

<?php
 
	function ubb($Input)
	{
		$Subject = stripslashes($Input);
 
	    //patern => replacement
	    $Elements = array(
			'/\[url\](.*?)\[\/url\]/is' => '<a href="$1">$2</a>',
		        '/\[url=(.*?)\[\/url\]/is' => '<a href="$1">$2</a>',
				'/\[img\](.*?)\[\/img\]/is' => '<img src="$1" />'       
	    );
 
	    $Subject = preg_replace(array_keys($Elements), $Elements, $Subject);
 
	    return $Subject;        
	}
 
?>

vinTage - 05/01/2010 23:44
Nieuw lid		gah, je maakt al gebruik van regexes, dus waarom die ene functie nog gebruiken ? Zoek gewoon een fatsoenlijke regex en klaar (al sta ik ook open voor andere opties)

Martijn2008 - 05/01/2010 23:48
PHP beginner		Mja, ik ben zo verschrikkelijk slecht met regexes hè. Had er net ook 1 gevonden, die erin geplakt, kreeg toen ineens een php error

Koen - 06/01/2010 00:00
PHP expert		HTML Purifier, staat tussen de downloads.

vinTage - 06/01/2010 00:02 (laatste wijziging 06/01/2010 00:03)
Nieuw lid		Martijn2008 schreef: Mja, ik ben zo verschrikkelijk slecht met regexes hè. Had er net ook 1 gevonden, die erin geplakt, kreeg toen ineens een php error Daar zijn we vet mee, jij krijgt geeneens een functie aan de gang @Koen, linkje, ik ben ook benieuwd en geen zin om te zoeken

Koen - 06/01/2010 00:06
PHP expert		vinTage schreef: [..quote..] Daar zijn we vet mee, jij krijgt geeneens een functie aan de gang @Koen, linkje, ik ben ook benieuwd en geen zin om te zoeken http://www.sitemasters.be/zoeken/html%20purifier
Bedankt door: Martijn2008

vinTage - 06/01/2010 00:09 (laatste wijziging 06/01/2010 02:13)
Nieuw lid		wow, wat een brok dingesen, ik heb al spijt van mn vraag Ik hou het toch maar bij wat simpele functies vet late edit: Net (uit verveling) hun demo bekeken, en dat werkt nog best nice, mss toch eens wat nader besnuffelen

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten