XSS mediante HTML no estándar

27 04 2008

Cuando se quieren evitar ataques XSS, normalmente en PHP se usan las funciones htmlspecialchars o htmlentities.

Ahora veo un ejemplo en el que un ataque puede evitar estas funciones cuando se crea la página con HTML no estándar. Tenemos el típico ejemplo de un texto que se introduce por un formulario y se presenta como un enlace.

  • $dato = htmlentities($_GET['dato'], ENT_QUOTES);
  • echo "<a href=pagina.php?dato=$dato>Enlace</a>";

Si os fijáis bien veréis que el enlace está mal formado y no tiene las comillas en el href. Si metieramos como dato de entrada lo siguiente: ” onclick=alert(null)” (sin las comillas), nuestra página sufriría un ataque XSS y mostraría un mensaje alert.

Vía: SentidoWeb

Anuncios




Más de 500.000 sitios web afectados por ataque masivo de inyección SQL

26 04 2008

Entre la enorme lista de víctimas se encuentran esta vez los sitios de organismos oficiales (Naciones Unidas, UNICEF, Department of Homeland Security, Servicio Civil del Reino Unido…), revistas (Redmond Magazine, Pocket PC Magazine…), empresas (Aeroflot…), etc, etc.

El mecanismo es el habitual. Se explota de forma masiva una vulnerabilidad peculiaridad de Microsoft IIS y Microsoft SQL Server para insertar javascript en los servidores afectados, que se sirve a los navegadores de sus visitantes de modo que éstos resultan redirigidos a otros sitios maliciosos, donde se ensayan diferentes exploits para varias vulnerabilidades conocidas, buscando instalar malware en sus máquinas.

Y también, como es habitual, están a salvo los usuarios de Firefox con NoScript…

Vía: Kriptópolis

Comentario por Carlos. H.S. Group:

En fin, bendito Firefox… la verdad es que es impresionante la cantidad de sitios que han sido afectados.