Los ataques XSS (Cross Site Scripting) suelen ser la forma más habitual que emplean los piratas informáticos para atacar una página web. Para ello se aprovechan de ciertos fallos de seguridad, sobre todo, en el filtrado y validación de campos de entrada. A través de los cuales puede enviar script o comandos maliciosos que nos afectan tanto a nuestro sitio web como al pc del usuario que nos visita.
Un ejemplo básico de ataque mediante XSS o inyección de código puede ser
En esta ocasión el ataque se reduce a mostrar un mensaje de alerta en el equipo del usuario que nos visita, dado que el código HTML solo se ejecuta en el equipo del cliente no en el servidor. Este inofensivo ataque se ha aprovechado de una vulnerabilidad en un campo de entrada, el buscador. Podría haber sufrido un ataque más dañino, como el robo de información confidencial alojada en su equipo.
Cuando desarrollamos un sitio web con PHP debemos tener cuidado con formularios, buscadores, lugares susceptibles para poder llevar a cabo un ataque mediante XSS. Por lo que debemos siempre verificar toda la información que nos faciliten los usuarios, filtrando determinados caracteres especiales que potencialmente pueden ser peligrosos.
Para ello PHP dispone de una serie de funciones que pueden sernos útiles a la hora de proteger nuestra web frente a posibles ataques mediante XSS. Hoy veremos algunas de ellas, como strip_tags o Input Filter.
Strip_tags es una función que nos permite limpiar cualquier etiqueta html que ha ingresado el usuario, de esta forma evitaremos los ataques más básicos, pero frente a un ataque más elaborado puede no ser suficiente.
PHP Input Filter es una clase desarrollada en PHP para el filtrado del posible código malicioso que se pueda insertar a través de un formulario. Para poder emplear necesitamos descargar la clase de la web oficial , incluir el archivo class.inputfilter.php al inicio y crear una instancia de la clase InputFilter
require_once("class.inputfilter.php"); $ifilter = new InputFilter();
Veamos un ejemplo, si tenemos un formulario en nuestra web que envía los datos por el método POST, con el siguiente código filtraríamos todos los campos de forma rapida y sencilla.
require_once("class.inputfilter.php"); $ifilter = new InputFilter(); $_POST = $ifilter->process($_POST);
La clase InputFilter nos da la posibilidad de permitir que ciertas etiquetas o atributos puedan ser utilizadas por los usuarios, para ello solo necesitamos pasarle un array con el nombre de las etiquetas o atributos cuando creamos la instancia de la clase. Por lo que quedaría de la siguiente forma:
require_once("class.inputfilter.php"); $ifilter = new InputFilter( array(‘em’,’strong’); $ifilteraux=new InputFilter(array(’a’),array(‘href’));
La instancia ifilter permitiría la inclusión de las etiquetas em y strong en el formulario, mientras que la instancia ifilteraux permitiría el empleo del atributo href para que los usuarios puedan incluir enlaces en el formulario.
Una aplicación que puede sernos de gran utilidad es XSSploit nos permitirá localizar las vulnerabilidades de nuestra web antes de publicarla y evitar muchos problemas en el futuro.
Tags de búsquedas:
tutorial de zebra form php,ataque xss php,caracteres peligrosos php,clases para filtrar posts php,php proteger ataques xss,uso de input-filter
No hay comentarios:
Publicar un comentario
Todos los comentarios son bien recibidos...