Считается ли это за уязвимостью и можно ли пронести атаку и взломать сайт?

Question

[Mokhirjon Naimov]

В форме поиска по сайту есть такое поле:

<input type="text" id="input_id" name="val" value="">

Если в эту поле написать что то вроде этого: " placeholder="crack
То это поле после запроса будет выглядеть так:

<input type="text" id="input_id" name="val" value="" placeholder="crack">

Считается ли это за уязвимостью и можно ли пронести атаку и взломать сайт?

Comments

[Lynn «Кофеман»]

Конечно. Попробуйте написать туда "><script>alert(document.cookie)<script>

[Mokhirjon Naimov]

Алексей Тен alert() не срабатывает. Попробовал даже с /script> в конце в браузерах Opera 19.0 и Chrome 42.0.2311.135 m, но в console Сhrome были такие строки:

The XSS Auditor refused to execute a script in 'site.com/search?val=%22%3E%3Cscript%3Ealert%28docu...' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.

[Mokhirjon Naimov]

Спасибо! в FireFox'е сработало :) ну хоть что то

Answer 1

[sim3x]

<input type="text" id="input_id" name="val" placeholder="crack_start">
<script>
console.log('Knock-knock')
alert('u h4z b33n cr4ck3d')
<"crack_end">

https://www.owasp.org/index.php/Cross-site_Scripti...

Answer 2

[Назар Мокринский]

Да, это уязвимость, нельзя вставлять данные напрямую в верстку.
Я использую такой код для подготовки текста для вставки в атрибуты:

strtr(
	$text,
	[
		'&'		=> '&',
		'"'		=> '"',
		'\''	=> ''',
		'<'		=> '&lt;',
		'>'		=> '&gt;'
	]
)

Но это уже перед вставкой в атрибуты, а так данные по нормальному нужно фильтровать при получении от пользователя, я для этого использую функцию xap()отсюда

Comments

[Finesse]

А как же htmlspecialchars при вставке?

[Назар Мокринский]

Finesse: Она меняет большое количество других символов, для других целей используется (в одном из режимов работы xap() она как раз и используется)

[Артур Нуруллин]

Велосипедист =)

Answer 3

[Faha1998]

А можете мне объяснить,как через placeholder ломать сайт?:D,ведь по сути это ничего не дает

Comments

[Mokhirjon Naimov]

Фахриддин Абдурахимов placeholder для примера написан, в место него можно написать все что то угодно...

[Faha1998]

А что на пример?:D ведь это можно на любой сайт написать,даже на тостер

[Mokhirjon Naimov]

Фахриддин Абдурахимов а ты попробовал? xD

[Faha1998]

Mokhirzon Naimov: img.tas-ix.net/image/06K Ну вот,в чем прикол placeholder :D

[Mokhirjon Naimov]

Фахриддин Абдурахимов Короче, с toster'ом ничего не понятно, но в моем случае можно использовать XSS (я не уверен конечно, я еще в XSS не разбираюсь...)

Answer 4

[John Freeman]

через placeholder cломать сайт не получиться!
а что бы не было XSS то просто фильтруйте переменные хоть по минимуму

strip_tags — убирает html теги.
htmlspecialchars — преобразует спец. символы в html сущности.
Так вы защитите себя от XSS атаки, помимо SQL инъекции.
Если же вам нужны html теги, но только как для вывода исходного кода, то достаточно использовать:

$input_text = htmlspecialchars($_GET['input_text']);
$input_text = mysql_escape_string($input_text);

Comments

[Mokhirjon Naimov]

Igor Dzyuba
1. placeholder для примера написан
2. Я хочу взломать чужой сайт, а не защитить свой (но спасибо за информацию)

[Mokhirjon Naimov]

Алексей Тен показал наглядный пример, но я повторю для вас:
">

[Mokhirjon Naimov]

Ой :) сори:
"><script>alert(document.cookie)<script>