Cargando código ejecutable a través de <img> o <a> etiquetas?

Estoy trabajando en una aplicación que permitiría a las personas ingresar URL arbitrarias que se incluirían en las etiquetas <a href="ARBITRARY URL"> y <img src="ARBITRARY URL" />.Cargando código ejecutable a través de <img> o <a> etiquetas?

¿Qué tipo de riesgos de seguridad estoy viendo?

La aplicación está codificada en PHP, y la única contramedida de seguridad que actualmente realizo es usar la función htmlentities() de PHP contra la URL de entrada antes de enviarla como HTML. También estoy revisando para asegurarme de que el texto de la URL comience con http:// o https://, pero no sé si eso está logrando algo, desde el punto de vista de la seguridad.

¿Qué más debería estar haciendo para garantizar la seguridad de mis usuarios finales?

Fuente

2009-11-09 Dolph

Tome un vistazo a la XSS Checklist.

Fuente

2009-11-09 21:57:22 ryeguy

Gracias, estoy usando el framework CodeIgniter, que tiene una función xss_clean(). Intenté aproximadamente la mitad de los ejemplos en ese sitio después de pasarlos a través de xss_clean() y reemplazó todo el texto vulnerable con la cadena "[eliminado]". – Dolph

¿Le gustaría leer sobre XSS (Cross site scripting) y XSRF (Cross site request forgery)

EDITAR: Como ha señalado ryeguy, se puede casi copiar y pegar cualquiera de los ejemplos en XSS (Cross Site Scripting) Cheat Sheet y buscar la mejor manera de prevenir de ellos en consecuencia.

Fuente

2009-11-09 21:54:05

Usted debe desinfectar en todo momento, las etiquetas img son vulnerables a cross-site-scripting

Fuente

2009-11-09 21:57:16 pablasso

Además, es posible insertar imágenes completas en URL usando en los navegadores más nuevos. Podría ser posible inyectar algo allí, sin embargo, eso requeriría un enorme agujero de seguridad en el lado del navegador y no sabría cómo desinfectar algo así.

¿Tal vez solo quiere restringir el acceso a ciertos dominios, o verificar si una imagen existe físicamente? Eso quizás ya ayude mucho.

Fuente

2009-11-09 22:01:42

CSRF:

<img src="http://example.org/accounts/123/delete" />

Fuente

2009-11-09 22:02:40 orip

Eso es increíble. – Dolph

Es posible construir una imagen que es también un archivo javascript válida, y obtener un navegador para ejecutarlo. Ver http://www.thinkfu.com/blog/?p=15

Las imágenes SVG (tipo mime image/svg + xml) pueden contener javascript. Ver http://www.w3.org/TR/SVG/interact.html

Fuente

2009-11-10 02:29:01

... yikes, esto es más en la línea de lo que estaba preocupado. Gracias. – Dolph

Además de las excelentes respuestas hasta el momento, la hoja de trucos xss realmente no tiene en cuenta los atributos del evento como onmouseover onhover, etc. Estos son todos, por diseño, para permitir que alguien ejecute algunos javascript cuando algo sucede.

Fuente

2009-11-11 19:05:32 Collin

Cargando código ejecutable a través de <img> o <a> etiquetas?

Respuesta

Cuestiones relacionadas