Можно ли осуществить взлом сайта через $_SERVER['REQUEST_URI'] ?

Question

[Игорь Самохин]

Добрый день!

Задумался над этим вопросом. Если в форме прописан action="$_SERVER['REQUEST_URI']" или где в атрибуте href тега , то возможно ли каким-то образом внедрить xss или...

Answer 1

[HangGlider]

Можно, если данные не фильтруются.

Форма

<form action="<?=$_SERVER['REQUEST_URI']?>">
...
</form>

при запросе: host.com/form/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cbr%20class=%22demo

превратится в:

<form action="http://host.com/form/"><script>alert('xss')</script><br class="demo">
...
</form>

Comments

[Игорь Самохин]

и это отобразится только на странице атакующего. Как полезно использовать уязвимость?

[HangGlider]

Дать "заряженную" ссылку на форму в ленте социальной сети, например.
У всех открывших появится алерт с текстом "xss".

Изменив скрипт, можно угнать куки. Если механизм сессий такой же дырявый как и форма (не проверяет IP для сессии), то атакующий может перехватить сессию и войти на сайт под учеткой пользователя открывшего ссылку.

[Игорь Самохин]

Я имею ввиду, что если вы измените SERVER['REQUEST_URI'] - то актуально будет для вас.

У других пользователей та же самая страница будет грузится с нормальным REQUEST_URI

[KorsaR-ZN]

@grigor007 В REQUEST_URI попадает вся часть после домена, к примеру host.com/form/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cbr%20class=%22demo, вот окажется REQUEST_URI все, что после .com

[HangGlider]

@grigor007 ссылку на форму не обязательно давать на сайте. Вы можете подделать корпоративную рассылку, в которой будет "заряженная" ссылка.

[Игорь Самохин]

@HangGlider да и правда. Я так понимаю быстрое решение это htmlspecialchars(strip_tags($_SERVER['REQUEST_URI'])) ?

[HangGlider]

@grigor007 да. можно даже без strip_tags

Если надо православненько сделать, тогда: filter_input(INPUT_SERVER, 'REQUEST_URI', FILTER_SANITIZE_URL)

Доки: php.net/manual/ru/ref.filter.php

[Игорь Самохин]

@HangGlider не пойму работает filter_input и filter_var или нет

туда значения уже приходят кодированные и alert не появляется. Если же сделать так:

$_SERVER['REQUEST_URI'] = filter_var(urldecode($_SERVER['REQUEST_URI']), FILTER_SANITIZE_URL);

то отрабатывает alert('xss')

Answer 2

[Максим Гречушников]

в форме можно вообще не указывать, а оставлять аттрибут пустым. но главное чтоб был