Evitando XSS

Hey, voy a intentar de explicaros que es un XSS [Cross Site Scripting] y como se pueden evitar. Si sabeis un poco de PHP entenderéis esta línea:

<? echo “<script>alert(‘hi’)</script>”;  ?> ese código lo que hace es lanzar una alerta con el texto Hi. Eso sería un XSS… y vosotros direis… ¿y eso que peligro tiene? ese código ninguno, pero sabiendo que existe un XSS se pueden robar las cookies. Aquí podeis ver un sencillo ejemplo de como se hace. Para evitar un XSS es fácil, los buscadores vulnerables a esto no filtran la busqueda, digamos que $busqueda es el lo que han buscado.

<? echo “Resultados de: $busqueda”; ?> si pusimos el código de arriba en el buscador reproducira una alerta, en cambio lo podemos filtrar así:

<? $busqueda=htmlentities($busqueda,ENT_QUOTES);  echo “Resultados de: $busqueda”; ?> lo que hace ese código es cambiar las comillas, también podemos usar otra función:

<? $busqueda=str_replace(““,”······”,$busqueda); echo “Resultados de $busqueda”; ?> lo que hace ese código es buscar comillas simples en la variable busqueda y sustituir las comillas simples por los puntos.

De esta forma es como podemos evitar un XSS, filtrando la busqueda.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: