Register for your free account! | Forgot your password?

You last visited: Today at 07:59

  • Please register to post and access all features, it's quick, easy and FREE!


XSS Blocking

Reply
 
Old   #1
 
elite*gold: 0
Join Date: Aug 2009
Posts: 1,401
Received Thanks: 1,356
XSS Blocking

Servus,

um die XSS injections (Cross-Site-Scripting) zu blocken reicht eine simple Funktion die alle GET Variablen überprüft.

Da hier gewisse Leute meinen andere um Ihr Geld zu erleichtern mache ich mir Natürlich die Mühe

PHP Code:
if (check_get($_GET) || check_get($_POST)) { die(".... :)"); }

function 
check_get($url) {
    if (
is_array($url)) {
        foreach (
$url as $value) {
            if (
check_get($value) == true) {
                return 
true;
            }
        }
    } else {
        
$url str_replace(array("\"""\'"), array(""""), urldecode($url));
        if (
preg_match("/<[^<>]+>/i"$url)) {
            return 
true;
        }
    }
    return 
false;

diesen Code einfach in eine Config (wo die Datenbank Daten stehen zb) stecken welche auf jeder Seite includet wird.

Um zu Testen ob es geht deineDomain/index.php?<script type="text/javascript">alert("XSS");</script>

# durch Computerfreek´s Info
Es gibt jedoch noch weitere Varianten die man nicht filtern kann.

Auch ist die Auswahl der richtigen jQuery Funktionen wichtig. Ich habe dazu mal was in den Download gepackt

Habt Spaß
Attached Files
File Type: rar XSS_html.rar (677 Bytes, 20 views)



blackout85 is offline  
Thanks
7 Users
Old 12/27/2015, 17:31   #2
 
elite*gold: 12
Join Date: Jun 2012
Posts: 978
Received Thanks: 860
Verstehe nicht ganz, was das bringen soll. Die meisten benutzen das CMS von hen! und da wird der GET Parameter page(?) dazu verwendet, um eine Seite zu inkludieren. (-was meiner Meinung nach ziemlich outdated ist & man eher ein Routing System verwenden oder andere Methoden benutzen sollte.) Dieser User-Input wird auch überprüft bzw. es wird geschaut, ob die Seite und somit die Datei überhaupt im Ordner existiert.
Hinzu kommt noch, dass XSS Angriffe sehr selten über die URL eingeschleust werden, da es ziemlich auffällig wäre. (Außer jemand hat eine Suchfunktion drinnen, bei der die Search-Query direkt als Parameter in der URL vorkommt)
Außerdem ist die Funktion htmlentities die beste Möglichkeit, um solche Angriffe zu unterbinden, da diese die Zeichen in HTML Codes (aus < -> &lt;) umwandelt.


.Xilent is offline  
Thanks
2 Users
Old 12/27/2015, 17:43   #3
 
elite*gold: 0
Join Date: Aug 2009
Posts: 1,401
Received Thanks: 1,356
das mit der URL ist nur ein leichteres Beispiel damit man es testen kann.

Ich würde so etwas via shell machen...

Ich weiß nicht ob es bei dem Henscript solch eine Lücke gibt jedoch schadet es nicht XSS zu blocken. Über das Coding des Hen CMS brauchen wir nicht Diskutieren. Zur heutigen Zeit nutzt man mvc Systeme ja aber man beachte wie alt das Hen CMS ist

Zudem ist der Thread dafür gedacht um die Leute vor betrügerischen Menschen zu verschonen die für sowas Geld nehmen.
blackout85 is offline  
Thanks
2 Users
Old 12/27/2015, 22:17   #4
 
elite*gold: 0
Join Date: Jan 2013
Posts: 1,818
Received Thanks: 334
Schöner Script. Danke dir Bro.


°Ace° is offline  
Old 12/27/2015, 22:26   #5
 
elite*gold: 26
Join Date: Oct 2011
Posts: 1,262
Received Thanks: 1,056
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
He3o Crysis is offline  
Old 12/27/2015, 22:29   #6

 
elite*gold: 207
Join Date: Oct 2011
Posts: 7,315
Received Thanks: 7,518
Quote:
Originally Posted by Socialized View Post
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.
Aze /.. is offline  
Old 12/27/2015, 22:41   #7

 
elite*gold: 44
Join Date: May 2010
Posts: 2,053
Received Thanks: 1,744
Quote:
Originally Posted by Socialized View Post
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
Wenn schon, dann wohl eher in .
Quote:
Originally Posted by  Aze  View Post
Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.
Selber Schuld wer sich nichtmal in der richtigen Sektion informiert.

Diese Funktion deckt bei weitem nicht alle Fälle von XSS ab.
Pauschale Eingabe-Filterung funktioniert einfach nicht, siehe dazu auch auf Stackoverflow.
Mashkin is offline  
Thanks
1 User
Old 12/28/2015, 00:00   #8
 
elite*gold: 0
Join Date: Aug 2009
Posts: 1,401
Received Thanks: 1,356
Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes
blackout85 is offline  
Old 12/28/2015, 01:09   #9
 
elite*gold: 0
Join Date: Feb 2008
Posts: 2,754
Received Thanks: 1,748
Quote:
Originally Posted by blackout85 View Post
Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes
Ändert nichts daran, dass deine Variante nur sehr einfache Varianten von XSS abdeckt. Jeder der sich ein paar Minuten beliest, hat eine Möglichkeit, welche deinen "Filter" umgeht.
Du vermittelst den Leuten hier falsche Sicherheit, das finde ich recht kontraproduktiv.
Computerfreek is offline  
Thanks
1 User
Old 12/28/2015, 02:03   #10
 
elite*gold: 0
Join Date: Aug 2009
Posts: 1,401
Received Thanks: 1,356
Es mag sein das es nur die einfachen Varianten abdeckt. Die Webseiten die Public sind, sind sowieso alle Clean. Wer was eigenes baut wird so schlau sein und htmlspecialchars sowie PDO verwenden nehme ich an.
blackout85 is offline  
Thanks
2 Users
Old 12/28/2015, 11:43   #11
 
elite*gold: 55
Join Date: Jun 2015
Posts: 117
Received Thanks: 37
Schön & Gut das du da irgendein mini script herbei gezaubert hast, dennoch ändert das nur minimal etwas an der Sache das man Injections durchführen kann.
Die Sinnvollere "Konzept-Idee" wäre es für dich alle Methoden abzudecken die dazu benutzt werden Lücken zu finden und sie zu nutzen.

Ich bin mal so nett:

- Cookie Injection
- XRS
- XAS
- DCP
- ...



Und als Bypasser z.B:

- Unescape()
- StringFromCharCode()
- ...

Außerdem gibt es zwei Typen der Verbindung (GET & POST)
the--fineworld is offline  
Old 12/28/2015, 18:25   #12
 
elite*gold: 0
Join Date: Aug 2009
Posts: 1,401
Received Thanks: 1,356
Quote:
Originally Posted by Craig Venter View Post
Außerdem gibt es zwei Typen der Verbindung (GET & POST)
Stimmt ...

das habe ich bei mir durch eine andere Funktion überprüft.
PHP Code:
function stripinput($text) {
    if (
QUOTES_GPC$text stripslashes($text);
    
$search = array("&""\"""'""\\"'\"'"\'""<"">""&nbsp;");
    
$replace = array("&amp;""&quot;""'""\""&quot;""'""&lt;""&gt;"" ");
    
$text str_replace($search$replace$text);
    return 
$text;

blackout85 is offline  
Old 12/30/2015, 21:25   #13
 
elite*gold: 143
Join Date: Aug 2009
Posts: 333
Received Thanks: 631
Braucht kein Mensch


Tookies is offline  
Reply



« Map Service by էօηყ ツ | Drachengott Buffs x2 »

Similar Threads
Port blocking
07/30/2011 - CO2 PServer - Discussions / Questions - 1 Replies
The problem i checked at Open Port Check Tool to see if something blocks the ports 9958, 9959, 9960 and 5816, and yeah, they are blocked, except 80 and 8080 which are not blocked (they are for website)...anyways... Is possible to unblock the ports I wrote?
Something is blocking UDOBot... PLEASE HELP!!!!
12/31/2010 - Browsergames - 10 Replies
Hi all, I need help with the UDOBOT 3.0.2! every time I start it,appears to me the following error:"Something is blocking udobot from connecting to the server!Check your Antivirus and firewall". I've sought help at several sites(including site udobot.com)but I can not solve my problem.I need your help!!! PLEASEE!!!! my antivius and firewall are disabled! Thank you guys,and sorry for my english,I hate this google translate!
blocking-not blocking ?
02/22/2010 - Kal Online - 1 Replies
hey all , i just wanted to ask you, if gms can get you, if you use storms with cooldowns ? i mean.... is it the same like all other skills , or you can get auto blocked or sth ?i am talking for int server :p plz answer
[HELP] Blocking Ip
02/02/2010 - CO2 PServer - Discussions / Questions - 6 Replies
Hello everyone, First of all sorry for my bad english, i used custom search to find something about my problem, but i didn't see any result. I got a problem with a guy that spams the broadcast of my friend's private server, he keep sending aim bot links. So i decided to block his IP, but i don't know how. He uses app server and MySql Thanks anyways
blocking
02/06/2009 - SRO Ask the Experts - 2 Replies
hey guys one question im wondering if i have a shield br 20 + pasive blader skill br 10+ it makes it 30% out of 100% off all blocks how much does the block rating on weapon decrease the block on my shield when an lets say glaiver with block rating 100(100%9 on glaive attacks me ???



All times are GMT +1. The time now is 07:59.


Powered by vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2018 elitepvpers All Rights Reserved.