Возможно ли выполнение вредоносного скрипта?

Question

[Антон]

У меня вопрос, например если у меня на сайте пользователь присылает отзыв, в базе он прописывается в Base64, в админке он декодируется для просмотра и одобрения/неодобрения, скажите возможно ли таким образом выполнить под видом отзыва вредоносный код или шелл? Обнаружил признаки взлома, попробовал самостоятельно прислать простейший alert так вот окошко упало, получается выполнение скриптов возможно. Помогите как от этого защититься? Кстати вот что нашел после декодировки одного из отзывов:

Answer 1

[entermix]

Фильтруйте текст перед отправков в БД/выводом на сайте

php.net/manual/ru/function.htmlspecialchars.php

<? echo htmlspecialchars('<script>....'); ?>

UPD:

htmlspecialchars(strip_tags(base64_decode($otz["text"])));

Comments

[Антон]

Незнаю, самописная cms, автор не я, пробовал убрать base64, скрипт не выполняется, но отправляются только английские символы, русские не распознает, возвращает пустое поле

[entermix]

Антон: тогда делайте вывод при помощи htmlspecialchars и будет Вам счастье)

[Антон]

entermix:

Странно в коде изначально стоит htmlspecialchars
//<?=base64_decode(sf(htmlspecialchars(strip_tags($otz["text"])))); ?>//

[Антон]

а как его сфильтровать

[Adamos]

Есть подозрение, что убрав base64, вы еще и SQL injection позволите.
Если приходящие данные никак больше не чистятся.

[Антон]

Adamos: как сделать чтобы просто тег

[Антон]

Adamos: как сделать чтобы просто тег script расозновался как текст а не как тег?

[Adamos]

Антон: у вас просто не в том порядке применяются функции. Вы применяете htmlspecialchars на кодированный base64 текст, это бессмысленно. А потом раскодируете его со всеми его тегами. Обработку нужно делать до кодирования, сразу при получении текста от пользователя.

[Антон]

Adamos: А вот это уже интересно, сейчас посмотрю момент отправки

[entermix]

Антон: Adamos правильно написал, сначала нужно сделать base64_decode, а потом уже фильтровать, обновил ответ, только там в Вашем примере еще есть функция sf(), я исключил ее, так как не знаю для чего предназначена :)

[Антон]

Adamos: Вы оказались правы, видимо действительно ошибка была изначально, поставил stip tags на пост запрос и вуаля тегов как не бывало, спасибо большое!) Я думаю это решение моей проблемы, но рано еще радоваться)

[Adamos]

Антон: еще раз напомню: убедитесь, что перед записью в БД этот текст проходит через real_escape_string, и вы, убирая ненужный base64 (а он здесь совершенно незачем, если с кодировками все в порядке), не создаете новую уязвимость.

[Антон]

Adamos: Спасибо, буду заниматься этим) Вы направили мои мысли в нужном направлении)))

Answer 2

[Денис Гончаренко]

Это и есть вирус, куки ваши стянули, вероятно вы там логин и пароль хранили)))))
Юзайте strip_tags, htmlspecialchars и им подобные.

Не храните никакой важной информации в куках, максимум информация о браузере и прочее, что не несет в себе потенциальной угрозы. Куки самое незащищенное место. А в этом скрипте якобы подгружается картинка средствами js, но на самом деле передаются ваши куки (то есть куки админа).

Comments

[Антон]

У меня сейчас вот так стоит:
//<?=base64_decode(sf(htmlspecialchars(strip_tags($otz["text"])))); ?>//
все равно выполняется, как исправить

[Алексей Ярков]

Антон: а что значат слеши в вашей строке кода? Они у вас так и прописаны, или это вы так выделяете строку?

[Антон]

Алексей Ярков: естественно я так делаю))) на некоторых сайтах пхп скрипты или теги нельзя писать)) тут помоему тоже нельзя

[Алексей Ярков]

Антон:

<?php
echo "Да ладно )))";
?>

[Антон]

Алексей Ярков: DDDDDDDDDDDDDDDDD

[Денис Гончаренко]

Антон: так вы подумайте что делаете то, вы понимаете в каком порядке функции вызываются? Начиная от внутренней, первая выполняется, а последняя base64_decode. Естественно этот код ничего не отфильтрует. Он пытается удалить теги из еще нерасшифрованного текста, ничего не удаляет и потом расшифровывает. Расшифровка должна выполняться первым делом а потом уже очистка расшифрованного сообщения.
А вообще лучше чистить при сохранении.