XSS Blocking

[blackout85]

Servus,

um die XSS injections (Cross-Site-Scripting) zu blocken reicht eine simple Funktion die alle GET Variablen überprüft.

Da hier gewisse Leute meinen andere um Ihr Geld zu erleichtern mache ich mir Natürlich die Mühe

PHP Code:

if (check_get($_GET) || check_get($_POST)) { die(".... :)"); }

function check_get($url) {
    if (is_array($url)) {
        foreach ($url as $value) {
            if (check_get($value) == true) {
                return true;
            }
        }
    } else {
        $url = str_replace(array("\"", "\'"), array("", ""), urldecode($url));
        if (preg_match("/<[^<>]+>/i", $url)) {
            return true;
        }
    }
    return false;
} 


diesen Code einfach in eine Config (wo die Datenbank Daten stehen zb) stecken welche auf jeder Seite includet wird.

Um zu Testen ob es geht deineDomain/index.php?<script type="text/javascript">alert("XSS");</script>

# durch Computerfreek´s Info
Es gibt jedoch noch weitere Varianten die man nicht filtern kann.

Auch ist die Auswahl der richtigen jQuery Funktionen wichtig. Ich habe dazu mal was in den Download gepackt

Habt Spaß

[.Xilent]

Verstehe nicht ganz, was das bringen soll. Die meisten benutzen das CMS von hen! und da wird der GET Parameter page(?) dazu verwendet, um eine Seite zu inkludieren. (-was meiner Meinung nach ziemlich outdated ist & man eher ein Routing System verwenden oder andere Methoden benutzen sollte.) Dieser User-Input wird auch überprüft bzw. es wird geschaut, ob die Seite und somit die Datei überhaupt im Ordner existiert.
Hinzu kommt noch, dass XSS Angriffe sehr selten über die URL eingeschleust werden, da es ziemlich auffällig wäre. (Außer jemand hat eine Suchfunktion drinnen, bei der die Search-Query direkt als Parameter in der URL vorkommt)
Außerdem ist die Funktion htmlentities die beste Möglichkeit, um solche Angriffe zu unterbinden, da diese die Zeichen in HTML Codes (aus < -> <) umwandelt.

[blackout85]

das mit der URL ist nur ein leichteres Beispiel damit man es testen kann.

Ich würde so etwas via shell machen...

Ich weiß nicht ob es bei dem Henscript solch eine Lücke gibt jedoch schadet es nicht XSS zu blocken. Über das Coding des Hen CMS brauchen wir nicht Diskutieren. Zur heutigen Zeit nutzt man mvc Systeme ja aber man beachte wie alt das Hen CMS ist

Zudem ist der Thread dafür gedacht um die Leute vor betrügerischen Menschen zu verschonen die für sowas Geld nehmen.

[°Ace°]

Schöner Script. Danke dir Bro.

[He3o Crysis]

Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.

[Aze /..]

Quote:

Originally Posted by Socialized

Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.

Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.

[Mashkin]

Quote:

Originally Posted by Socialized

Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.

tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.

Wenn schon, dann wohl eher in .

Quote:

Originally Posted by 　Aze　

Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.

Selber Schuld wer sich nichtmal in der richtigen Sektion informiert.

Diese Funktion deckt bei weitem nicht alle Fälle von XSS ab.
Pauschale Eingabe-Filterung funktioniert einfach nicht, siehe dazu auch auf Stackoverflow.

[blackout85]

Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes

[Computerfreek]

Quote:

Originally Posted by blackout85

Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes

Ändert nichts daran, dass deine Variante nur sehr einfache Varianten von XSS abdeckt. Jeder der sich ein paar Minuten beliest, hat eine Möglichkeit, welche deinen "Filter" umgeht.
Du vermittelst den Leuten hier falsche Sicherheit, das finde ich recht kontraproduktiv.

[blackout85]

Es mag sein das es nur die einfachen Varianten abdeckt. Die Webseiten die Public sind, sind sowieso alle Clean. Wer was eigenes baut wird so schlau sein und htmlspecialchars sowie PDO verwenden nehme ich an.

[the--fineworld]

Schön & Gut das du da irgendein mini script herbei gezaubert hast, dennoch ändert das nur minimal etwas an der Sache das man Injections durchführen kann.
Die Sinnvollere "Konzept-Idee" wäre es für dich alle Methoden abzudecken die dazu benutzt werden Lücken zu finden und sie zu nutzen.

Ich bin mal so nett:

- Cookie Injection
- XRS
- XAS
- DCP
- ...


Und als Bypasser z.B:

- Unescape()
- StringFromCharCode()
- ...

Außerdem gibt es zwei Typen der Verbindung (GET & POST)

[blackout85]

Quote:

Originally Posted by Craig Venter

Außerdem gibt es zwei Typen der Verbindung (GET & POST)

Stimmt ...

das habe ich bei mir durch eine andere Funktion überprüft.

PHP Code:

function stripinput($text) {
    if (QUOTES_GPC) $text = stripslashes($text);
    $search = array("&", "\"", "'", "\\", '\"', "\'", "<", ">", "&nbsp;");
    $replace = array("&", """, "'", "\", """, "'", "<", ">", " ");
    $text = str_replace($search, $replace, $text);
    return $text;
} 


[Tookies]

Braucht kein Mensch