[tutorial] evitando xss em javascript

Postagem de conteúdo sobre programação javascript
Post Reply
User avatar
Kodo no Kami
Admin
Admin
Posts: 739
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

[tutorial] evitando xss em javascript

Post by Kodo no Kami » Sun May 03, 2015 9:05 am

cross site scripting e uma falha q o navegador interpreta uma entrada de dados como se fosse um codigo da pagina, veja uma pagina simples de vun xss

Code: Select all

<html>
<body bgcolor="black" text="white">
   <script type="text/javascript">
      function hack()
	  {
	     dados = document.getElementById("fts315").value;
		 document.getElementById("saida").innerHTML = dados;
	  }
   </script>
   <center>
   <h1 color="red"> FTS XSS Refletido</h1>
   <input type="text" id="fts315">
   <input type="button" value="enviar" onclick="hack()">
   <hr>
   <div id="saida">
      aq vai ser o comentario ^^
   </div>
   </center>
</body>
</html>
se agente ao inves de digitar um comentario e sim um codigo html ele vai interpretar e ai q ta bicho '-', para evitar isso agente pode substituir < e > por &#60 e &#62, criei essa funçao simples q faz isso de maneira facil

Code: Select all

function fts_antixss(string1)
{
   tam = string1.length;
   
   string2 = string1.replace(/</g,"&#60");
   string1 = string2.replace(/>/g,"&#62");
   
   return string1;
}
so colocar a funçao fts_antixss e passar como argumento a string q ele converte automaticamente

Code: Select all

<html>
<body bgcolor="black" text="white">
   <script type="text/javascript">
      function fts_antixss(string1)
      {
         tam = string1.length;
   
	     string2 = string1.replace(/</g,"&#60");
	     string1 = string2.replace(/>/g,"&#62");
   
	     return string1;
      }
	  
	  function hack()
	  {
	     dados = document.getElementById("fts315").value;
		 document.getElementById("saida").innerHTML = fts_antixss(dados);
	  }
   </script>
   <center>
   <h1 color="red"> FTS XSS Refletido</h1>
   <input type="text" id="fts315">
   <input type="button" value="enviar" onclick="hack()">
   <hr>
   <div id="saida">
      aq vai ser o comentario ^^
   </div>
   </center>
</body>
</html>
bom galera e isso ^^

by kodo no kami
Image

que desagradavel ~ mirai kuriyama

Post Reply

Return to “Javascript”