seja bem vindo ao forum eof, caso nao seja cadastrado se cadastre para poder visualizar todo o conteudo ^^

Você não está conectado. Conecte-se ou registre-se

 » Programação Web » Javascript / Jquery / Ajax » [tutorial] evitando xss em javascript

[tutorial] evitando xss em javascript

Ir em baixo  Mensagem [Página 1 de 1]

1 [tutorial] evitando xss em javascript em Qui Jan 03, 2013 4:08 am

Kodo no Kami

avatar
master
master
cross site scripting e uma falha q o navegador interpreta uma entrada de dados como se fosse um codigo da pagina, veja uma pagina simples de vun xss

Código:
<html>
<body bgcolor="black" text="white">
  <script type="text/javascript">
      function hack()
     {
       dados = document.getElementById("fts315").value;
       document.getElementById("saida").innerHTML = dados;
     }
  </script>
  <center>
  <h1 color="red"> FTS XSS Refletido</h1>
  <input type="text" id="fts315">
  <input type="button" value="enviar" onclick="hack()">
  <hr>
  <div id="saida">
      aq vai ser o comentario ^^
  </div>
  </center>
</body>
</html>

se agente ao inves de digitar um comentario e sim um codigo html ele vai interpretar e ai q ta bicho '-', para evitar isso agente pode substituir < e > por &#60 e &#62, criei essa funçao simples q faz isso de maneira facil

Código:
function fts_antixss(string1)
{
  tam = string1.length;
 
  string2 = string1.replace(/</g,"&#60");
  string1 = string2.replace(/>/g,"&#62");
 
  return string1;
}

so colocar a funçao fts_antixss e passar como argumento a string q ele converte automaticamente

Código:
<html>
<body bgcolor="black" text="white">
  <script type="text/javascript">
      function fts_antixss(string1)
      {
        tam = string1.length;
 
       string2 = string1.replace(/</g,"&#60");
       string1 = string2.replace(/>/g,"&#62");
 
       return string1;
      }
    
     function hack()
     {
       dados = document.getElementById("fts315").value;
       document.getElementById("saida").innerHTML = fts_antixss(dados);
     }
  </script>
  <center>
  <h1 color="red"> FTS XSS Refletido</h1>
  <input type="text" id="fts315">
  <input type="button" value="enviar" onclick="hack()">
  <hr>
  <div id="saida">
      aq vai ser o comentario ^^
  </div>
  </center>
</body>
</html>

bom galera e isso ^^

by hacker fts315


_________________ASSINATURA_________________
[Você precisa estar registrado e conectado para ver esta imagem.]
[Você precisa estar registrado e conectado para ver esta imagem.]

Contato:
Spoiler:

Contato:
Facebook: [Você precisa estar registrado e conectado para ver este link.]
Skype: hackerfts315
http://endoffile.umforum.net

Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum