Защита от XSS

@deadkid56 · Регистрация: 20.08.2018

Студворк — интернет-сервис помощи студентам

Добрый день. Пишу панель управления, сегодня решил проверить скрипт на уязвимости. Как оказалась, уязвимость одна - XSS.
Причем скрипт можно запустить просто обратившись к .php файлу: "http://test1.ru/index.php<script>alern</script". Я буду очень благорен, если кто-то поможет в решении данной проблемы!

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
<?php
session_start(); 
if (isset($_SESSION['name'])) {
    
    $name = $_SESSION['name'];
    $donate = "Донатер";
    $cab = "Личный Кабинет";
    $login = "profile.php";
    $avatar = "user";
}
else {
   $name = "Гость";
   $login = "login.php";
   $donate = "Привилегия отсутствует";
   $cab = "Авторизация";
   $avatar = "guest";
}
 
?>
 
 
<!DOCTYPE HTML>
<!--
-->
<html>
 
 
    <head>
        <title>Prologue by HTML5 UP</title>
        <meta charset="utf-8" />
        <meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=no" />
        <link rel="stylesheet" href="assets/css/main.css" />
        
    </head>
    
    <body class="is-preload">
 
        <!-- Header -->
            <div id="header">
 
                <div class="top">
 
                    <!-- Logo -->
                        <div id="logo">
                        
                            <span class="image avatar48"><img src="images/<?php echo $avatar;?>.jpg" alt="" /></span>
                            <h1 id="title"><?php echo $name ?></h1>
                            <p><?php echo $donate ?></p>
                        </div>
 
                    <!-- Nav -->
                        <nav id="nav">
                            <ul>
                                <li><a id="#topo" href="<?php echo $login;?>" id="top-link"><span class="icon fa-bolt"><?php echo $cab; ?></span></a></li>
                                <li><a id="#topo" href="#top" id="top-link"><span class="icon fa-home">Главная</span></a></li>
                                <li><a href="#portfolio" id="portfolio-link"><span class="icon fa-address-book">Бан - Лист</span></a></li>
                                <li><a href="#about" id="about-link"><span class="icon fa-comments">История Чата</span></a></li>                                 
                                <li><a href="#contact" id="contact-link"><span class="icon fa-envelope">Статистика</span></a></li>                            
                            </ul>
                        </nav>
 
                </div>
                
                <div class="bottom">
 
                    <!-- Social Icons -->
                        <ul class="icons">
                            <li><a href="#" class="icon fa-twitter"><span class="label">Twitter</span></a></li>
                            <li><a href="#" class="icon fa-facebook"><span class="label">Facebook</span></a></li>
                            <li><a href="#" class="icon fa-github"><span class="label">Github</span></a></li>
                            <li><a href="#" class="icon fa-dribbble"><span class="label">Dribbble</span></a></li>
                            <li><a href="logout.php" class="icon fa-times"><span class="label"></span></a></li>
                        </ul>
 
                </div>
 
            </div>
 
        <!-- Main -->
            <div id="main">
 
                <!-- Intro -->
                    <section id="top" class="one dark cover">
                        <div class="container">
 
                        
                            <header>
                                <h2 class="alt">Hi! I'm <strong>Prologue</strong>, a <a href="http://html5up.net/license">free</a> responsive<br />
                                site template designed by <a href="http://html5up.net">HTML5 UP</a>.</h2>
                                <p>Ligula scelerisque justo sem accumsan diam quis<br />
                                vitae natoque dictum sollicitudin elementum.</p>
                            </header>
 
                            <footer>
                                <a href="#portfolio" class="button scrolly">Magna Aliquam</a>
                            </footer>
 
                        </div>
                    </section>
 
                <!-- Portfolio -->
                    <section id="portfolio" class="two">
                        <div class="container">
 
                            <header>
                                <h2>Бан - лист</h2>
                            </header>
 
                            <table border="1">
                           <tr>
                            <th>Ник:</th>
                            <th>Забанен Админом:</th>
                            <th>SteamID:</th>
                            <th>Причина:</th>
                            <th>Дата окончания:</th>
                           </tr>
                           <tr>
                            <td></td>
                            <td>*</td>
                            <td></td>
                            <td>Оскорбления</td> 
                            <td>Никогда</td>                         
                          </tr>
                         </table>
                         
 
                        </div>
                    </section>
 
                <!-- About Me -->
                    <section id="about" class="three">
                        <div class="container">
 
                            <header>
                                <h2>История чата</h2>
                            </header>
 
                            <table border="1">
                           <tr>
                            <th>Ник</th>
                            <th>SteamID</th>
                            <th>Сообщение</th>
                           </tr>
                           <tr>
                            <td>Anarchist*</td>
                            <td>STEAM_0:1_42132321</td>
                            <td>Всем привет!</td>                     
                          </tr>
                         </table>
 
                        </div>
                    </section>
 
                <!-- Contact -->
                    <section id="contact" class="four">
                        <div class="container">
 
                            <header>
                                <h2>Статистика</h2>
                            </header>
 
                            <p>Ваша персональная статистика</p>
 
                                                        <style>
                            .order-card {
                             color: #fff;
                            }
                            .bg-c-blue {
                             background: linear-gradient(45deg,#4099ff,#73b4ff);
                            }
                            .bg-c-green {
                             background: linear-gradient(45deg,#2ed8b6,#59e0c5);
                            }
                            .bg-c-yellow {
                             background: linear-gradient(45deg,#FFB64D,#ffcb80);
                            }
                            .bg-c-pink {
                             background: linear-gradient(45deg,#FF5370,#ff869a);
                            }
                            .card {
                            margin:20px;    
                             border-radius: 5px;
                             -webkit-box-shadow: 0 1px 2.94px 0.06px rgba(4,26,55,0.16);
                             box-shadow: 0 1px 2.94px 0.06px rgba(4,26,55,0.16);
                             border: none;
                             margin-bottom: 30px;
                             -webkit-transition: all 0.3s ease-in-out;
                             transition: all 0.3s ease-in-out;
                            }
                            .card .card-block {
                             padding: 25px;
                            }
                            .order-card i {
                             font-size: 26px;
                            }
                            .f-left {
                             float: left;
                            }
                            .f-right {
                             float: right;
                            }
                            </style>
 
                            <div class="container-fluid">
                             <div class="row">
 
                             <div class="col-md-3 col-xl-3">
                             <div class="card bg-c-blue order-card">
                             <div class="card-block">
                             <h6 class="m-b-20">Убито:</h6>
                             <h2 class="text-right"><i class="fa fa-cart-plus f-left"></i><span>486</span></h2>
                             <p class="m-b-0">Completed Orders<span class="f-right">351</span></p>
                             </div>
                             </div>
                             </div>
                             
                             <div class="col-md-3 col-xl-3">
                             <div class="card bg-c-green order-card">
                             <div class="card-block">
                             <h6 class="m-b-20">Погиб:</h6>
                             <h2 class="text-right"><i class="fa fa-rocket f-left"></i><span>486</span></h2>
                             <p class="m-b-0">Completed Orders<span class="f-right">351</span></p>
                             </div>
                             </div>
                             </div>
                             
                             <div class="col-md-3 col-xl-3">
                             <div class="card bg-c-yellow order-card">
                             <div class="card-block">
                             <h6 class="m-b-20">Нанес урона:</h6>
                             <h2 class="text-right"><i class="fa fa-refresh f-left"></i><span>486</span></h2>
                             <p class="m-b-0">Completed Orders<span class="f-right">351</span></p>
                             </div>
                             </div>
                             </div>
                            </div>
                            </div>
 
                        </div>
                    </section>
 
            </div>
 
        <!-- Footer -->
            <div id="footer">
 
                <!-- Copyright -->
                    
 
            </div>
 
        <!-- Scripts -->
            <script src="assets/js/jquery.min.js"></script>
            <script src="assets/js/jquery.scrolly.min.js"></script>
            <script src="assets/js/jquery.scrollex.min.js"></script>
            <script src="assets/js/browser.min.js"></script>
            <script src="assets/js/breakpoints.min.js"></script>
            <script src="assets/js/util.js"></script>
            <script src="assets/js/main.js"></script>
 
    </body>
</html>

@Para bellum · 23.08.2018, 06:13

В данном скрипте нет уязвимости. Разве что если Вы настроили сервер, чтобы он перенаправлял запросы к несуществующим адресам на какой-то файл, в котором Вы записываете request uri в $_SESSION['name'].
Но это маловероятно.

А вообще, на будущее: чтобы не было XSS-уязвимостей, проводите весь вывод на экран через htmlspecialchars.

@Phantom-84 · 23.08.2018, 08:08

deadkid56, угловые скобки не являются допустимыми символами в незакодированном виде (выполняйте обработку именно в таком виде). К тому же вы можете осуществлять собственную дополнительную валидацию. Например, я обычно для пути оставляю допустимыми "незарезервированные" символы и слеш (к строке параметров требования еще жестче, несмотря на использование в ней большего количества зарезервированных символов). Ну, и возьмите за правило "сбрасывать" текущий адрес при непрохождении валидации, чтобы ошибочный адрес не мог появиться на странице ошибки.

Добавлено через 9 минут
Что касается уязвимости в имени, можно уже на этапе хранения использовать HTML-кодирование для подобных полей, чтобы по минимуму использовать функции представления при выводе.

@deadkid56 · 23.08.2018, 09:43 **[ТС]**

Сообщение от Para bellum

В данном скрипте нет уязвимости. Разве что если Вы настроили сервер, чтобы он перенаправлял запросы к несуществующим адресам на какой-то файл, в котором Вы записываете request uri в $_SESSION['name'].
Но это маловероятно.

А вообще, на будущее: чтобы не было XSS-уязвимостей, проводите весь вывод на экран через htmlspecialchars.

если обратится напрямую, то можно вывести куки((

@Para bellum · 23.08.2018, 11:02

Куда напрямую?

@deadkid56 · 23.08.2018, 12:11 **[ТС]**

PHP
1
http://test1.ru/index.php<script>alern</script>

@Para bellum · 23.08.2018, 12:13

Чо?

Сынок · 23.08.2018, 13:30

Para bellum, там в википедии кстати в определении XSS такая жуть и прописана, как её автор и воспринимает

@Phantom-84 · 23.08.2018, 14:17

deadkid56, не выводите что попало где попало. Если такой страницы нет, должна выводиться страница ошибки.

@deadkid56 · 23.08.2018, 14:53 **[ТС]**

я собственно, за этим на форум и написал. При добавлении в адресную строку "<script>alern</script" например, выполняет javascript. Я хочу узнать, как это можно исправить

Добавлено через 2 минуты

Сообщение от Phantom-84

deadkid56, не выводите что попало где попало. Если такой страницы нет, должна выводиться страница ошибки.

и я к сожалению, никак не могу разобраться, что нужно сделать

@otto-fukin · 23.08.2018, 14:55

Сообщение от deadkid56

При добавлении в адресную строку "<script>alern</script" например, выполняет javascript. Я хочу узнать, как это можно исправить

все должны догадаться сами как ваш скрипт обрабатывает адресную строку?

@wmysterio · 23.08.2018, 20:23

В .htaccess пропишите что-то типа этого:

Code
1
2
3
4
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ /страница_404.php/ [F,L]

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	23.08.2018, 06:13
	В данном скрипте нет уязвимости. Разве что если Вы настроили сервер, чтобы он перенаправлял запросы к несуществующим адресам на какой-то файл, в котором Вы записываете request uri в $_SESSION['name']. Но это маловероятно. А вообще, на будущее: чтобы не было XSS-уязвимостей, проводите весь вывод на экран через htmlspecialchars. 1

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	23.08.2018, 08:08
	deadkid56, угловые скобки не являются допустимыми символами в незакодированном виде (выполняйте обработку именно в таком виде). К тому же вы можете осуществлять собственную дополнительную валидацию. Например, я обычно для пути оставляю допустимыми "незарезервированные" символы и слеш (к строке параметров требования еще жестче, несмотря на использование в ней большего количества зарезервированных символов). Ну, и возьмите за правило "сбрасывать" текущий адрес при непрохождении валидации, чтобы ошибочный адрес не мог появиться на странице ошибки. Добавлено через 9 минут Что касается уязвимости в имени, можно уже на этапе хранения использовать HTML-кодирование для подобных полей, чтобы по минимуму использовать функции представления при выводе. 1

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	23.08.2018, 11:02
	Куда напрямую? 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	23.08.2018, 12:13
	Чо? 1

Сынок 31 / 46 / 19 Регистрация: 18.07.2018 Сообщений: 578
	23.08.2018, 13:30
	Para bellum, там в википедии кстати в определении XSS такая жуть и прописана, как её автор и воспринимает 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	23.08.2018, 14:17
	deadkid56, не выводите что попало где попало. Если такой страницы нет, должна выводиться страница ошибки. 0