Mi web es vulnerable a XSS. Una pequeña ayuda por favor.

Pues eso, soy bastante novato en el tema de programación web. Asi que cuando hice mi sitio web, puse opciones a los usuarios de poner comentarios.
el problema es que en esos comentarios permito introducir codigo javascript.
y al cargarse por supuesto, se ejecuta dicho codigo.

Pense como primer remedio el no permitir escribir el < ni > en los comentarios, pero bastaria con un navegador con js desactivado para poder meterlos de nuevo.

Por favor alguien k me diga como evitar en php este desastre. He buscado y leido algo acerca del tema pero no acabo de enterarme.

Deberia usar htmlentities() ??

Que tar si intentas con ereg

Saludos.-

Hola, en este blog (que me parece que es de un compañero del foro) se suele tratar mucho el tema de XSS... con ejemplos y demas. No se si encontraras la super funcion anti-XSS (jaja) pero si bastantes ejemplos para aprender como es que se hacen estos ataques XSS

htmlentities y strip_tags te servirian para algo muy basico, pero luego de leer ese link que te pase, te daras cuenta que en algunos casos no es suficiente.


Saludos.

En mi opinión personal simpre e dicho que los "buenos arreglos php" mantan a cualquier forma de llegadas de XSS.-

Saludos.-

Y a que te refieres con "buenos arreglos php"?

Saludos

Te dejo una función, fijate si te sirve:
http://snipplr.com/view/1848/php--sacar-xss/

Fridureiks, a ese tipo de arreglo como el que esta en el enlace que dejo nicolaspar, ese esta tremendo.-

Saludos.-

GENIAL!!!! muchas gracias. de momento solucione con htmlentities, pero creo k voy a usar un poco lo que posteo nicolaspar. Muchas Gracias

Encerrar algo entre htmlentities y entre sacarXss es lo mismo, usa la mía que es mas segura. Y la función la pones en un include general.

me gusto la funcion nico, ^^ me la robo :p

La función me parece algo complicada para evitar un simple xss.
además se tendría que llamar para cada variable.

Y que sugieres?

Yo sugeriria hacer un script para cualquier pagina y solo hacer un include en la pagina donde queramos evitar el xss.

Igual se puede utilizar esa funcion, solo es recorrer $_POST o $_GET y filtrar todas las variables y asi el que lo quiera implementar no se preocupa de andar acomodando cada variable, solo de hacer un include.

Creo que seria lo ideal jeejej

Te sugiero que revises la siguiente página para que veas que tan dificil es evitar "un simple xss".

A propósito, la función que puso nicolaspar no cubre el %100 de los casos que se presentan en la página que te indiqué.

Si ya la conocia, hay mucha gente creativa ajajjajaja. Pero también les recuerdo que el xss no es solo desde formularios, también desde las cookies.

¿Quién dijo que estaba solo limitado a formularios? (por ejm mira el bug comentaron hoy)

Si la verdad es que este es el bug mas explotado de la red, increible hasta donde se encuentran.

Casi ninguna pagina, o cms se ha salvado.

http://search.securityfocus.com/swse...sort=swishrank

hace poco yo notifique uno en meneame y creo que nadie creia que podria llegar a ser peligroso.

La función sacarXss junto con un urlencode no tiene problemas hasta donde se (no se mucho eh), y de tenerlos decinos cual, le hacemos el update y santo remedio, sería un aporte

Es buena idea, sería cuestión de usar esta lógica en esa función.

Jeje, no he probado la función, pero personalmente no me gusta como funciona.

Por ejemplo si pongo lo siguiente:
La función, devuelve "esto es un sc<x>ript", lo cual obviamente está mal - a propósito, esa función me parece más una prueba de concepto para evitar los casos expuestos en ha.ckers.org/xss.html

Saludos

Hola Amigos, pues, ya recibi amenazas de unos cuantos chicos, que mi webpage es muy vulnearble

uso PhpNuke y casi todos los modulos estan hechos por mi, pero la galeria principal de fotos, es la unica manera de que entre informacion a la base de datos

www.elfresno.com.mx

lo malo es que no se donde mas o como se puede agregar este tipo de maleficios

:S

Ayudenme por favor

Saludos