google bug XSS – błąd w google webmaster tools

google bug – błąd w google webmaster tools

Otóż niedawno zwyczajnie przeglądając sobie google dla webmasterów zdziwiłem się jak zobaczyłem ładnie osadzony JavaScript pośród wyników. Może to niewiele ale takie rzeczy są równie bezpieczne jak sranie na odbezpieczony 5 sekundowy granat… Poza tym mając taką wskazówkę bez problemu odnajdziemy więcej podobnych błędów, wiadomo gdzie szukać… jestem wręcz pewien że wszystkie dane są w ten sam sposób parsowane!

Pragnę przypomnieć, że już dawno w google jakiś ktoś odkrył też jakieś luki (chyba także XSS), nie jestem pewnie bo nie było po polsku… Teraz odnalazłem go w : Twoja witryna w sieci >> Zapytania najczęściej powodujące wyszukanie

Miłego XSS-owania!

XSS
cross site scripting, atak na stronę polegający na umieszczeniu własnego kodu na stronie, oczywiście złośliwy w działaniu i szkodliwy (z reguły JavaScript).
Zabezpieczenie przed XSS
Otóż nie ma prostszych sposobów niż parsowanie danych w PHP za pomocą jednej z dwóch funkcji:

  • htmlentities() – zamienia specjalne znaki na encje, dzięki temu możemy wyświetlić bezpiecznie każdy kod i nie zostanie on wykoanany
  • strip_tags() – usuwa każdy kod HTML, osadzony JavaScript oraz PHP, wiec nie zostanie on w ogóle wyświetlony
  • htmlspecialchars() = konwertuje na encje tylko znaki specjalne

Przy htmlentities() oraz htmlspecialchars() pragnę przypomnieć, że jeśli parsujemy jakiś ciąg w utf-8 lub innym kodowaniu to musimy je podać jako trzeci argument funkcji, inaczej znaki specjalne nam się wykrzaczą!

htmlentities($str, ENT_NOQUOTES, 'utf-8');
htmlspecialchars($str, ENT_NOQUOTES, 'utf-8');

Screen buga w google webmaster tools:
google webmaster xss bug screen
Dla tych szukających rozwiązania od strony php polecam dwie funkcje:

  • urlencode()
  • rawurlencode()

Wszelkie prawa zastrzeżone © tosiek

1 Comment

  1. Dzięki za ciekawe informacje.

Dodaj komentarz